Cago_Note

ARM은 안드로이드에서 실행되는 대부분의 모바일 기기의 아키텍처 중 하나입니다. 이는 모바일 기기에서 사용되는 프로세서 기반 아키텍처로, 안드로이드 운영체제와 함께 작동하여 모바일 애플리케이션을 실행합니다. ART는 안드로이드 애플리케이션을 실행하기 위한 런타임 환경 중 하나입니다. ART는 JIT(Just-In-Time) 컴파일러 대신 AOT(Ahead-Of-Time) 컴파일러를 사용하여 애플리케이션을 미리 컴파일하여 실행 시간을 단축시킵니다. 이는 안드로이드 애플리케이션의 실행 속도와 반응성을 향상시키는 데 도움이 됩니다. 따라서, ARM은 모바일 기기의 아키텍처이고, ART는 안드로이드 애플리케이션을 실행하기 위한 런타임 환경 중 하나입니다. odex 파일은 최적화된 dex 파일을 기계어 형식으로 ..

GIT은 형상 관리 시스템으로 개발한 소스코드를 효과적으로 관리하고 공유하는 도구입니다. 이번에는 git 명령어의 사용 방법에 대해서 살펴보겠습니다. https://git-scm.com/book/ko/v2 처음 해야되는거 더보기 설치 확인 sudo apt installl git git --version 저장소 생성(git init) mkdir cd git init 사용자 정보 등록 --global은 전역 옵션 git config --global user.name "" git config --global user.email "" git config user.name "" git config user.email "" 사용자 정보 확인 git config --list git 기본 명령어 git init git..

Frida CLI 란 Frida CLI는 Frida를 사용하는 명령줄 인터페이스(Command Line Interface) 도구입니다. Frida를 사용하여 동적 분석, 취약점 분석, 디버깅 등의 작업을 수행할 수 있다. Frida CLI는 대부분의 기능을 커맨드라인에서 실행할 수 있도록 합니다. 이를 통해 스크립트나 자동화 작업에서 유용하게 사용될 수 있다. 공통 옵션 -h, --help: 도움말을 출력합니다. -V, --version: 버전 정보를 출력합니다. -U , --device : 대상 기기의 ID를 지정합니다. 기기 ID는 frida-ls-devices 명령어로 확인할 수 있습니다. 기기 ID를 지정하지 않으면, 자동으로 첫 번째 기기가 선택됩니다. -R , --runtime : 대상 애플리..

ProGuard란? ProGuard는 안드로이드 앱 개발 시 사용되는 오픈 소스 도구로, 앱의 크기를 줄이고 보안을 강화하기 위해 사용됩니다. ProGuard는 Java 코드의 난독화(obfuscation)와 코드 최적화(optimization)를 수행하며, 클래스 파일을 쉽게 분석할 수 없도록 클래스 이름, 메서드 이름, 필드 이름 등을 변경합니다. ProGuard는 기본적으로 Android SDK에 포함되어 있습니다. 따라서, 안드로이드 개발 시에는 ProGuard를 사용하여 앱의 보안을 강화하고, 크기를 줄일 수 있습니다. 매핑 파일이란? 매핑 파일(mapping file)은 ProGuard가 소스 코드를 난독화하거나, 클래스 이름, 메서드 이름, 필드 이름을 변경할 때 사용됩니다. 매핑 파일은 소..

보호되어 있는 글입니다.

2022년 11월 26일 ESET Research에서 FIFA 카타르 월드컵을 중계 앱으로 사칭하여 배포된 악성 앱 입니다. 해당 악성앱은 페이스북을 통해 악성 애플리케이션을 다운로드 할 수 있는 "Kora 442" 페이이지로 배포하였습니다. 참고블로그 해당 Facebook 페이지에서 "Kora 442 애플리케이션에서 월드컵 경기를 실시간으로 팔로우 하세요"라고 언급하여, 이용자에게 악성 앱을 다운로드 하도록 유도하는 방식을 이용 했습니다. 유포지 "hxxps://kora442[.].com App Name : kora 442 MD5 : 6905fac52473837ed4c548915b5c65a3 SHA-1 : 9c904c821edaff095e833ee342aedfcaac337e04 SHA-256 : 02c..

Dracarys Android Spyware는 Signal, Telegram, WhatsApp, YouTube 및 기타 채팅 응용 프로그램등, 정상앱을 사칭하여 피싱 사이트를 통해 배포된 악성 앱 입니다. 해당 악성앱은 Bitter APT그룹에서 배포한 악성앱이며, 해당그룹은 스피어 피싱 이메일과 같은 기술을 이용하여 RAT 및 기타 malware 계열을 배포합니다. 출처 https://blog.cyble.com/2022/08/09/bitter-apt-group-using-dracarys-android-spyware/ ※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다. ※ 대부분의 정상 앱은 일반 사용자에게 특별한 접근 출처를 알 수 없는 앱 설치 권한을 요구 하지 않습니..

안드로이드 악성 코드, MYT Müzik 앱 사칭 앱 분석 유럽 국가의 은행 사용자 대상으로 악성 행위를 하는 것으로 알려진 Android Bank trojan 입니다. 해당 악성앱은 MYT Music 이라는 앱을 사칭하여 배포 되고 있는 악성코드 입니다. 출처 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/ ※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다. ※ 대부분의 정상 앱은 일반 사용자에게 특별한 접근 출처를 알 수 없는 앱 설치 권한을 요구 하지 않습니다. APK 파일 정보 app name : MYT Müzik package : com.expressvpn.vp..

보호되어 있는 글입니다.

frida-dexdump란? 안드로이드 애플리케이션의 메모리 덤프를 추출해 주는 도구입니다. 이를 통해 애플리케이션 내부의 dex 파일을 추출하여 분석할 수 있습니다. 이를 활용하면 악성 코드 탐지 및 디버깅 등의 용도로 사용할 수 있습니다. frida-dexdump를 사용하기 위해서는 frida-server가 먼저 실행되어 있어야 하며, 대상 애플리케이션의 PID를 확인한 후 해당 PID를 이용하여 메모리 덤프를 추출합니다. 필요한 거 준비하기 애뮬레이터(NOX) , anaconda, fria-server, frida-tool, frida-dexdump 요약 더보기 1. 필요한거 다 설치했는지 확인 2. 아나콘다 가상 환경에서 python 패키지 설치 확인 - pip install frida-tools..