SandDroid - 안드로이드 apk 파일 분석 서비스

 

 

 

본글에 대한 저작권은 저자에게 있습니다. 상업적으로 이용을 금합니다.

1. 사이트 주소

SandDroid : http://sanddroid.xjtu.edu.cn
2.  개요

SandDroid은 안드로이드 APP을 자동으로 분석하는 샌드 박스이다. 의심가는 APK 파일을 업로드하면, 정적/동적 분석을 하여 보고서로 만들어 준다.

정적 분석은 권한 분석, 성분 분석, 악성 코드 탐지, 분류 분석 등 포함되어 있다.
권한 분석 : 업로드한 APP의 AndriodManifest.xml 및 사용자 정의 규칙에 의해 권한을 부여한다.
구성 요소 분석 : 업로드한 APP에 사용되는 모든 구성 요소를 추출하고 노출 된 구성 요소를 나열한다.
악성 코드 탐지 : 추출 기능에 따라 안드로이드 악성 코드를 탐지하고 악성 코드를 포함하는 클래스를 나열한다.
분류 분석 : 가능성 샘플이 속한 카테고리 표시하는 사용자 정의 분류 모델 샘플을 분류하는 WEKA를 사용한다. 

아래는 카테고리 목록에 대한 설명이다.

normal : 특별한 권한이 필요없는 일반적인 APP.
map : 네비게이션 관련 APP.
callsms : 전화 통화하고 짧은 메시지를 보낼 수 있 APP.
camera : 사진을 찍기 위해 카메라를 사용할 수있는 APP.
system : 중요한 권한을 많이 필요로하고 높은 권한의 작업을 실행할 수있는 APP.
network : 실행하는 동안 네트워크를 사용하거나 설정할 수 있는 APP
book : 전자 책 APP.

동적 분석은 파일 작업을 포함하여 APP이 실행 중 동적 행동, 네트워크 행동 (GET/POST 요청, TCP/UDP 연결 등), 개인 정보 누출 등을 모니터링 한다.

3. 서비스 이용 방법

SandDroid 메인페이지 제일 하단에 APK 파일 업로드하는 부분이 존재한다. 의심가는 APK 파일을 선택한 후 [Submit]를 클릭한다.

 

의심가는 APK 파일을 업로드가 완료되면 아래와 같이 MD5 값과 함께 업로드를 성공하였다는 메시지를 보여준다.

 

위 화면에서 바로 [Report]를 클릭하면, 경고 메시지만 보여준다. 대략적으로 2~3분 정도 지난 후에 [Report]를 클릭한다.  이후에도 언제든지 메인 화면 중간 부분에 위치한 [View Report]를 클릭하거나 APK 파일 업로드시 확인한 MD5 값을 이용하여 분석 결과를 확인 할 수 있다.

 

분석된 결과는 아래와 같이 SandDroid에 저장되어 있으며, APK 파일의 위험도를 시각적으로 간단히 표시해준다.

 

자세한 분석 결과를 확인 하고 싶으면, MD5 값을 클릭하면된다. MD5 값을 클릭하면, 아래와 같이 업로드한 APK 파일에 대한 기본적인 정보 / 정적분석 보고서 / 동적 결과 보고서를 확인 할 수 있다.

[APK 파일의 기본적인 정보]

 

[정적 분석 보고서]

 

[동적 분석 보고서]