프로그래밍/Android

https://domdom.tistory.com/619 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 3편 1편에서는 간단하게 URL 링크에 접속하게 되면 어떤 일이 일어났는지 확인해보았구요 https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 domdom.tistory.com 3편에서는 안드로이드 앱 시작 점인 아래 클래스를 분석해보았습니다. gz4j4q4.ImApplication 그리고 위 클래스에서 동적 dex 파일을 로드했었는데, 그 dex 안에 있는 com.Loader 클래스를 불러오게 되면서 com.Loader 클래스의 생성자가 호출되었습니다..

프로그래밍/Android

1편에서는 간단하게 URL 링크에 접속하게 되면 어떤 일이 일어났는지 확인해보았구요 https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜.. "[Web발신] 운송장번호(5919*********19): 물품지연 확인하시기바랍니다. http://qkyho[.]aptmh[.]com" 대체 저 URL에 접속하게 되면 domdom.tistory.com 2편에서는 앱을 실제로 실행하게 되었을 때 어떤 공격을 당하게 되는지 대략적으로 알아보았습니다. https://domdom.tistory.com/617 [문자 피싱 악성 URL 분석 일지] http://..

프로그래밍/Android

이번 편에서는 1편에서 다운받았던 chrome.apk 파일의 내용에 대해서 분석해볼거에요! https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜.. 대체 저 URL에 접속하게 되면 무슨 일이 일어나는지 보겠습니다~ 일단 저는 모바일로 접속하기 무서워서(?) 인터넷 웹 domdom.tistory.com 기본적으로 앱을 설치 또는 실행할 때 요구하는 권한부터 살펴봤어요~ 와이파이 연결 상태, 네트워크 상태 변경, 전화연결, 외부 저장소 파일 작성 및 읽기, 오디오/음성 조절, 휴대폰 막 켜졌는지 확인, 화면 잠금 상태 조작, 인터넷 연결, SMS..

프로그래밍/Android

어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜.. "[Web발신] 운송장번호(5919*********19): 물품지연 확인하시기바랍니다. http://qkyho[.]aptmh[.]com" 대체 저 URL에 접속하게 되면 무슨 일이 일어나는지 보겠습니다~ 일단 저는 모바일로 접속하기 무서워서(?) 인터넷 웹브라우저로 접속해보았어요! 그런데 왠걸 404 Not Found 웹페이지가 나오면서 위와 같이 페이지를 찾을 수 없다고 하네요??? 또잉 뭐죠?! 분명 URL에 오타는 없는데 벌써 지워진 걸까요? 그래서 혹시나 싶어서 Mobile 로 접속했을 때만 되는 건가 싶어서, Mobile 로 접속한 것처럼 보이게 해보았어요! 위에 보이는 User-Agent 는 접속한 기기를 나타내..

프로그래밍/Android

지난 글에서는 리패키징을 통한 SSL/TLS 피닝 우회 방법에 대해서 언급했었는데요. 아래 링크에서 참고해보실 수 있습니다. https://domdom.tistory.com/377 [apk-mitm] APK 파일 SSL/TLS pinning 우회 및 기능 없애는 방법 아마 SSL/TLS(인증서) Pinning 방식은 Android 7 부터 안드로이드 개발자들이 MITM(Man-in-the-middle) 공격을 막기 위해서 만들었을 겁니다. 그리고 보통 SSL/TLS Pinning 우회를 하는 이유는 모바일 앱에서 Network domdom.tistory.com 다만 위 방식은 리패키징이 가능하다는 전제하에 실행 가능한데, 이번에는 frida 를 사용해서 SSL/TLS 피닝 관련 코드를 동적으로 후킹해서 ..

프로그래밍/Android

adb help // List all comands # Adb Server adb kill-server adb start-server # Adb Reboot adb reboot adb reboot recovery adb reboot-bootloader adb root //restarts adb with root permissions # Shell adb shell // Open or run commands in a terminal on the host Android device. # Devices adb usb adb devices //show devices attached adb devices -l //devices (product/model) adb connect ip_address_of_device..

프로그래밍/Android

adb logcat --pid 사용법 이번에는 제가 또 가끔 사용하는 명령어인 adb logcat 으로 로그를 볼 때 특정 패키지만 필터링해서 보는 방법에 대해 작성해보려고 합니다! adb logcat에는 아래와 같이 특정 프로세스 ID, 즉 PID의 log를 출력시킬 수 있는 옵션이 존재합니다. adb logcat --pid=프로세스ID 실행된 앱의 PID가 뭔지 확인하기 위해서는 adb shell ps 명령어를 사용해서 볼 수 있습니다. adb shell "ps | grep com.example" USER PID PPID VSIZE RSS WCHAN PC NAME u0_a49 4437 1875 1181808 220920 d7729cc0 S com.example.domdom 위 명령어 실행 예제에서는 ..

프로그래밍/Android

서론 오류 내용을 자세히 다뤄보기에 앞서 해당 오류는 환경에 따라 오류의 원인이 다를 수 있음을 말씀드립니다. 제가 겪었던 오류의 원인은 제 PC 환경에서 지원하지 않는 CPU 의 AVD 를 생성하였기 때문이었습니다. 오류 내용 위 화면은 Android Studio 특정 버전에서 AVD를 생성할 때 CPU Type을 arm64 종류로 생성하고 실행시켰을 때 나오는 오류입니다. 오류내용 : The emulator process for AVD Pixel_2_XL_API_30 has terminated. 정확히 어떤 이유에서 위와 같은 오류가 나왔는지 상세 로그를 보고 분석해볼 필요가 있었습니다. 그러기 위해서 Android Studio Log를 조회해봅시다. Help 메뉴 하위에 Show Log in Exp..

프로그래밍/Android

오류 원인과 해결방법 혹시 adb shell 접속 후 frida server를 실행했을 때 위 스크린샷과 같은 오류가 나셨나요? Unable to start: Could not listen on address 127.0.0.1, port 27042: Error binding to address 127.0.0.1:27042: Address already in use 해당 오류가 나는 이유는 이미 frida server가 실행되어있을 경우 나는 오류입니다. 이미 frida server 에서 사용하고 있는 포트번호인 27042 가 이미 사용되고 있다는 뜻인데, adb 환경에서 왠만하면 다른 프로그램이 해당 포트를 점유하고 있을 가능성은 적기 때문에 아마 이미 frida server 가 실행되고 있을 가능성이 ..