앱 자동 분석 시스템 - 샌드드로이드(SandDroid)

샌드드로이드

• SandDroid는 안드로이드 앱 온라인 자동 분석 시스템으로, APK 또는 ZIP 파일을 업로드하면 정적 및 동적 분석을 해준다.
  • 아래 화면은 샌드드로이드의 메인 페이지이다.
  • http://sanddroid.xjtu.edu.cn/

> SandDroid Analysis list

• SandDroid Static Analysis (정적 분석 항목)
  • 기본 정보
  • 인증 분석
  • 카테고리 분석
  • 권한 분석
  • 구성 요소 분석
  • 코드 분석
  • 광고 모듈 분석
  • 민감한 API 분석

  ---

• SandDroid Dynamic Analysis (동적 분석 항목)
  • 네트워크 분석
  • HTTP 데이터 분석
  • IP 분석
  • 파일 분석
  • SMS 및 전화 기록 분석
  • SMS 차단 모니터
  • 암호화 분석
  • 데이터 누출 분석

  ---

 

• 정적, 동적 분석이 끝나면 분석 결과를 종합해 위험 행위 분석과 위험 점수를 알려준다.

 

• SandDroid 사용을 하기 위해서는 아래 주소로 들어가서 분석하고 싶은 APK, ZIP 파일을 업로드하면 된다. (50MB 제한)
  • http://sanddroid.xjtu.edu.cn/#upload

 

• 파일을 업로드하면 얼마 후 보고서가 나오며, 파일 분석 완료 시 Report URL과 MD5 해시 값을 알려준다.
  • 해시 값을 사용하여 Report를 다시 확인할 수 있다.

 

• SandDroid 분석 결과, 파일의 분석 시간, 해시 값, 패키지 이름, pcap 파일, 로그캣 정보 등을 알려준다.
  • pcap 파일은 업로드한 파일의 네트워크 트래픽을 모두 기록하여 저장한 정보이다.
  • pcap 파일과 로그캣 파일은 따로 클릭하여 분석 결과 다운이 가능하다.

 

• 다음은 위험도 점수, 위험 행위 분석 결과를 보여준다.
  • (VirusTotal과 연동되어 바이러스 분석 결과를 보여줌)

 

• 이어서 네트워크 분석 결과, 정적 분석 결과, 동적 분석 결과가 나온다.

 

• 항목들을 클릭하여 세부내용도 확인이 가능하다.

> ex) Permission (AndroidManifest.xml 파일을 통해 추출한 앱 권한 정보)

> ex) Activities (안드로이드 4대 컴포넌트 중 하나인 액티비티 정보)

• 액티비티 : 한 화면을 구성하는 UI
• ⇒ 하나의 액티비티는 여러 개의 뷰로 구성됨

> ex) Content Providers (컨텐츠 프로바이더 정보)

• 컨텐츠 프로바이더 : 애플리케이션 간의 데이터 공유 인터페이스

> ex) IP Distribution (업로드 파일의 IP 정보)

• IP를 통해 애플리케이션의 개발자 및 유통 경로를 알 수 있다.