• Review of KIISC
• /
• v.29 no.1
• /
• pp.26-33
• /
• 2019

안드로이드 모바일 환경에서 사용되는 애플리케이션은 사용자에게 여러 권한을 요구하며, 특정한 기능을 수행한다. 공격자는 정상적인 애플리케이션으로 가장한 악성 애플리케이션을 사용자가 다운로드 하도록 유도하여 금융정보 및 개인정보를 탈취할 수 있다. 기존의 모바일 백신은 시그니처(signature) 기반의 악성 애플리케이션 탐지 방법을 사용하기 때문에 정상 애플리케이션으로 가장한 악성 애플리케이션의 탐지가 어려운 측면이 있다. 따라서, 본 논문에서는 안드로이드 악성 애플리케이션 탐지율 향상을 위한 특성(feature)을 연구 및 분석하고, 여러 기계학습 모델을 적용하여 최종적으로는 기존의 모바일 백신으로는 탐지가 어려운 악성 애플리케이션까지 탐지가 가능한 기계학습 모델을 제안하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.1
• /
• pp.205-214
• /
• 2019

Android uses app cache files to improve app execution performance. However, this optimization technique may raise security issues that need to be examined. In this paper, we present a practical design of "Android app cache manipulation attack" to intentionally modify the cache files of a target app, which can be misused for stealing personal information and performing malicious activities on target apps. Even though the Android framework uses a checksum-based integrity check to protect app cache files, we found that attackers can effectively bypass such checks via the modification of checksum of the target cache files. To demonstrate the feasibility of our attack design, we implemented an attack tool, and performed experiments with real-world Android apps. The experiment results show that 25 apps (86.2%) out of 29 are vulnerable to our attacks. To mitigate app cache manipulation attacks, we suggest two possible defense mechanisms: (1) checking the integrity of app cache files; and (2) applying anti-decompilation techniques.

• Review of Korean Society for Internet Information
• /
• v.13 no.1
• /
• pp.30-38
• /
• 2012

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.415-417
• /
• 2015

스마트폰이 출시된 이후 지금까지 개발된 안드로이드 앱은 초기 앱 자체의 문제가 있었으나 스마트폰 시장이 점차 확대 되면서 개발된 안드로이드 앱의 보안 취약점과 악성코드가 삽입된 어플리케이션의 .apk 파일 배포로 인해 무결성이 지켜지지 못하고 보안 문제가 끊임없이 발생하며 안드로이드폰에 설치된 앱의 위 변조로 악성코드가 삽입된 APK 파일을 이용해 설치하였을 경우 소스코드의 부정 사용과 개인정보유출 등 2 차로 금융사기 유도, 소액결재 등 사회적인 문제가 되고 있다. 본 논문은 위 변조된 안드로이드 어플리케이션의 진본 여부를 확인하 위해 방안을 제안하며 악의적인 목적으로 만들어진 위 변조된 안드로이드 어플리케이션 apk 파일을 이용한 설치로 부정 사용되는 안드로이드 어플리케이션의 진본 설치 여부를 진단할 수 있는 방안을 제안하고자 한다.

• Convergence Security Journal
• /
• v.12 no.4
• /
• pp.9-15
• /
• 2012

In recently years, repackaged malwares are becoming increased rapidly in Android smartphones. The repackaging is a technique to disassemble an app in a market, modify its source code, and then re-assemble the code, so that it is commonly used to make malwares by inserting malicious code in an app. However, it is impossible to collect all the apps in many android markets including too many apps. To solve the problem, we propose RePAD (RePackaged App Detector) scheme that is composed of a client and a remote server. In the smartphone-side, the client extracts the information of an app with low CPU overhead when a user installs the app. The remote server analyzes the information to decide whether the app is repackaged or not. Thus, the scheme reduces the time and cost to decide whether apps are repackaged. For the experiments, the client and server are implemented as an app on Galaxy TAB and PC respectively. We indicated that seven pairs of apps among ones collected in official and unofficial market are repackaged. Furthermore, RePAD only increases the average of CPU overhead of 1.9% and the maximum memory usage of 3.5 MB in Galaxy TAB.

• Convergence Security Journal
• /
• v.14 no.4
• /
• pp.61-71
• /
• 2014

In recent years, malwares in Android smartphones are becoming increased explosively. Since a great deal of appsare deployed day after day, detecting the malwares requires commercial anti-virus companies to spend much time and resources. Such a situation causes malwares to be detected after they have become already spread. We propose a scheme called TAU that dynamically tracks application behaviors to specify apps with potential security risks. TAU keeps track of how a user's interactions to smartphones incurs the app installation, the route of app spread, and the behavior of app execution. This tracking specifies apps that have the possibility of attacking the smartphones using the drive-by download and update attack schemes. Moreover, the tracked behaviors are used to decide whether apps are repackaged or not. Therefore, TAU allows anti-virus companies to detect malwares efficiently and rapidly by guiding to preferentially analyze apps with potential security risks.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.30 no.3
• /
• pp.357-367
• /
• 2020

According to Symantec's 2018 internet security threat report, The number of new mobile malware variants increased by 54 percent in 2017, as compared to 2016. And last year, there were an average of 24,000 malicious mobile applications blocked each day. Existing signature-based technologies of malware detection have limitations. So, malware detection technique through machine learning is being researched to detect malware variant. However, even in the case of applying machine learning, if the proper features of the malware are not properly selected, the machine learning cannot be shown correctly. We are focusing on feature selection method to find the features of malware variant in this research.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.04a
• /
• pp.222-224
• /
• 2016

전 세계에서 안드로이드는 가장 인기 있는 운영체제이다. 이에 따라 구글 스토어 뿐 만아니라 네이버 앱 스토어와 같은 서드 파티가 점차 다양해지고, 사용자가 앱을 다운로드 받을 수 있는 경로가 보다 많아졌다. 악의적 목적을 가진 사용자는 이러한 점을 악용하고 있다. 앱 스토어에 악성 앱을 유포하고 마치 정상적인 앱처럼 나타내어 사용자를 속이는 등 여러 피해를 주고 있다. 본 논문에서는 앱 스토어에 관한 최근 연구들을 기능 별로 분류하고 서술한다. 그리고 각 기능 별 향후 방향에 대해 제시한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.21 no.1
• /
• pp.213-219
• /
• 2011

Due to the rapid growth of smartphone market, the security threats are also increased. One of the smartphone security threats is that w1Verified applications are distributed on the smartphone market. In the case of Andoroid market, Google have no Application Approval Process that can detect malicious android application so many malicious android applications are distributed in the Android market. To reduce this security threat, it is essential the skill to detect the malicious activities of application. In this paper, we propose the android application analysis method for malicious activity detection and we introduce the implementation of our method which can automatically analyze the android application.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.241-242
• /
• 2016

안드로이드 시스템은 공개적인 구조 때문에 다양한 공격에 노출될 수 있다. 특히 공개된 앱의 코드를 재사용하는 앱 재사용(reuse) 공격에 취약하다. 안드로이드 앱 재사용 공격에서 공격자는 역공학을 통해서 파악한 기존 앱의 유용한 코드 블록을 재사용해서 악성앱을 만든다. 이러한 안드로이드 앱 재사용 공격에 대항하기 위해서 다양한 방어기법들이 제안되었다. 기존에 제안된 기법들이 앱 전체 코드에 대한 재사용 공격을 탐지하는데 반해, 본 논문에서는 앱에서 코드 블록 재사용에 대한 분석기법을 제안하고자 한다. 기본 아이디어는 Birthday paradox을 이용해서 앱에서 재사용되는 코드 블록에 대한 수리적 분석을 수행하는 것이다. 분석을 통해서 동일 코드 블록 재사용 확률은 전체 코드 블록중에서 재사용 코드 블록이 차지하는 비율과 코드 블록 재사용에 참여하는 악성앱들의 개수에 영향을 받는다는 것을 파악하였다.