• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.617-623
• /
• 2018

본 연구는 안드로이드 정적분석을 기반으로 추출된 AndroidManifest 권한 특징을 통해 악성코드를 탐지하고자 한다. 특징들은 AndroidManifest의 권한을 기반으로 분석에 대한 자원과 시간을 줄였다. 악성코드 탐지 모델은 1500개의 정상어플리케이션과 500개의 악성코드들을 학습한 SVM(support vector machine), NB(Naive Bayes), GBC(Gradient Boosting Classifier), Logistic Regression 모델로 구성하여 98%의 탐지율을 기록했다. 또한, 악성앱 패밀리 식별은 알고리즘 SVM과 GPC (Gaussian Process Classifier), GBC를 이용하여 multi-classifiers모델을 구현하였다. 학습된 패밀리 식별 머신러닝 모델은 악성코드패밀리를 92% 분류했다.

• International Journal of Computer Science & Network Security
• /
• 제22권11호
• /
• pp.367-372
• /
• 2022

In the age of smartphones, users accomplish their daily tasks using their smartphones due to the significant growth in smartphone technology. Due to these tremendous expansions, attackers are highly motivated to penetrate numerous mobile marketplaces with their developed malicious apps. Android has the biggest proportion of the overall market share when compared to other platforms including Windows, iOS, and Blackberry. This research will discuss the Android security features, vulnerabilities and threats, in addition to some existing protection mechanisms.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권10호
• /
• pp.4191-4203
• /
• 2015

WebView is a vital component in smartphone platforms like Android, Windows and iOS that enables smartphone applications (apps) to embed a simple yet powerful web browser inside them. WebView not only provides the same functionalities as web browser, it, more importantly, enables a rich interaction between apps and webpages loaded inside the WebView. However, the design and the features of WebView lays path to tamper the sandbox protection mechanism implemented by browsers. As a consequence, malicious attacks can be launched either against the apps or by the apps through the exploitation of WebView APIs. This paper presents a critical attack called Supplementary Event-Listener Injection (SEI) attack which adds auxiliary event listeners, for executing malicious activities, on the HTML elements in the webpage loaded by the WebView via JavaScript Injection. This paper also proposes an automated static analysis system for analyzing WebView embedded apps to classify the kind of vulnerability possessed by them and a solution for the mitigation of the attack.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.9-15
• /
• 2012

최근 안드로이드 스마트폰에서 리패키징을 이용한 악성코드가 급증하고 있다. 리패키징은 이미 배포되고 있는 앱의 내부를 수정한 후 다시 패키징하는 기법이지만, 악성코드 제작자가 기존 앱에 악성코드를 삽입하여 배포할 때 흔히 사용되고 있다. 하지만, 앱을 제공하는 안드로이드 마켓이 다양하고, 각 마켓에서 제공하는 앱이 매우 많기 때문에 모든 앱을 수집해서 분석하는 것은 불가능하다. 이를 해결하기 위해 본 논문은 RePAD 기법을 제안한다. 이 기법은 사용자의 스마트폰에 탑재된 클라이언트 앱과 원격 서버로 구성되는 시스템이다. 클라이언트는 적은 부하로 사용자가 설치한 앱의 출처와 정보를 추출하여 원격 서버로 전송하고, 서버는 전송된 정보를 바탕으로 앱의 리패키징 여부를 탐지한다. 따라서 리패키징 앱 판별을 위해 앱의 정보를 수집하는 시간과 비용을 줄일 수 있다. 실험을 위해 클라이언트 앱과 원격서버를 갤럭시탭과 윈도우즈 기반의 PC에 각각 구현하였다. 여러 마켓에서 수집된 앱 중 7 쌍의 앱이 리패키징된 것으로 판정하였고, 갤럭시탭에서 평균 1.9%의 CPU 부하와 최대 3.5M의 메모리 사용량을 보였다.

• 스마트미디어저널
• /
• 제12권5호
• /
• pp.58-64
• /
• 2023

로직 밤에서 악성 행위를 트리거하는 분기문의 조건은 미리 파악할 수 없어 안드로이드 악성 앱 분석을 어렵게 하고 있다. 로직 밤과 트리거일 수 있는 잠재적으로 의심스러운 분기문을 탐지하기 위한 다양한 연구가 진행되었으나, 리플렉션과 같이 런타임에 결정되는 정보가 포함된 앱에서는 의심스러운 분기문을 제대로 탐지할 수 없다. 본 논문에서는 안드로이드 앱에 리플렉션이 사용되어도 앱 실행 로그 기록과 분석을 통해 의심스러운 분기문을 탐지할 수 있는 도구를 제안한다. 제안한 도구는 안드로이드 앱이 실행되는 동안 로그에 호출된 사용자 정의 메소드와 자바 API, 리플렉션으로 호출된 메소드 정보와 분기문 정보를 기록하고 이를 분석하여 호출된 메소드와 분기문간의 관계를 파악하여 의심스러운 분기문을 탐지할 수 있다. 실험을 통해 리플렉션이 사용된 앱에서도 의심스러운 분기문을 탐지할 수 있음을 확인하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제12권1호
• /
• pp.17-24
• /
• 2023

모바일 앱은 사용자의 편의를 위해 개인정보에 접근할 수 있는 권한을 자주 요청한다. 하지만 이에 따라 모바일 앱을 이용하는 동안 허용되지 않은 개인정보가 유출되는 문제가 많이 발생했다. 이러한 문제를 해결하기 위해 구글 앱스토어에 등록된 앱은 개인정보 처리방침에 사용자의 개인정보를 앱에서 어떻게 활용하는지 명시하도록 했다. 하지만 앱이 수행하는 개인정보 수집 및 처리 과정이 개인정보 처리방침에 정확히 공개되어 있는지 확인하기 어려우며, 모바일 앱 사용자가 앱이 접근할 수 있는 개인정보에 대해 알기 위해서는 개인정보 처리방침에 의존해야만 한다. 본 연구에서는 개인정보 처리방침과 모바일 앱을 분석하여 개인정보 처리방침의 신뢰성을 확인하는 시스템을 제시한다. 먼저 개인정보 처리방침의 텍스트를 추출 및 분석하여 모바일 앱이 어떤 개인정보를 이용할 수 있다고 공개하는지 확인한다. 이후 안드로이드 정적 분석을 통해 앱이 접근할 수 있는 개인정보 분류를 확인하고, 두 결과를 비교하여 개인정보 처리방침을 신뢰할 수 있는지 분석한다. 실험을 위해 구글 앱스토어에 등록된 약 13,000개 안드로이드 앱의 패키지 파일과 부가정보를 수집한 뒤 분석할 수 있는 앱을 선정하기 위해 4가지 조건에 따라 전처리를 진행했다. 선정한 앱을 대상으로 텍스트 분석과 모바일 앱 분석을 진행하고, 이를 비교하여 모바일 앱은 개인정보 처리방침에 공개한 것보다 더욱 많은 개인정보에 접근할 수 있음을 증명한다.

• 한국소프트웨어감정평가학회 논문지
• /
• 제15권1호
• /
• pp.11-24
• /
• 2019

모바일 앱 개발자는 크로스 플랫폼 개발 프레임워크를 사용하여 서로 다른 모바일 플랫폼들에 구동되는 앱들을 하나의 단계로 구현할 수 있다. 공격자들 또한 크로스 플랫폼 개발 프레임워크를 사용하여 한번 작성된 악성 코드를 여러 모바일 플랫폼들 상에 바로 수행할 수 있다. 본 논문에서는 AndroZoo 사이트로부터 수집한 안드로이드 앱들을 대상으로 크로스 플랫폼 개발 프레임워크들로 작성된 정상 앱들과 악성 앱들의 비율을 연도별로 분석한다. 분석 결과, 크로스 플랫폼 개발 프레임워크들로 작성된 정상 앱들의 비율이 지속적으로 증가하여, 2018년도에는 전체 정상 앱들에서 45%를 차지한다. 크로스 플랫폼 개발 프레임워크로 작성된 악성 앱들의 비율은 2015년에는 전체 악성 앱들에서 25%를 차지하였으나 이후 그 비율이 감소하고 있다. 이러한 연구는 크로스 플랫폼 앱 개발 시에 직면할 수 있는 여러 선택 문제들을 해결하는데 기여할 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권2호
• /
• pp.959-981
• /
• 2017

Existing Android malware detection approaches mostly have concentrated on superficial features such as requested or used permissions, which can't reflect the essential differences between benign apps and malware. In this paper, we propose a quantitative calculation model of application risks based on the key observation that the essential differences between benign apps and malware actually lie in the way how permissions are used, or rather the way how their corresponding permission methods are used. Specifically, we employ a fine-grained analysis on Android application risks. We firstly classify application risks into five specific categories and then introduce comprehensive risk, which is computed based on the former five, to describe the overall risk of an application. Given that users' risk preference and risk-bearing ability are naturally fuzzy, we design and implement a fuzzy logic system to calculate the comprehensive risk. On the basis of the quantitative calculation model, we propose a risk classification based approach for Android malware detection. The experiments show that our approach can achieve high accuracy with a low false positive rate using the RandomForest algorithm.

• International Journal of Computer Science & Network Security
• /
• 제23권9호
• /
• pp.141-149
• /
• 2023

Repacked mobile apps constitute about 78% of all malware of Android, and it greatly affects the technical ecosystem of Android. Although many methods exist for repacked app detection, most of them suffer from performance issues. In this manuscript, a novel method using the Constant Key Point Selection and Limited Binary Pattern (CKPS: LBP) Feature extraction-based Hashing is proposed for the identification of repacked android applications through the visual similarity, which is a notable feature of repacked applications. The results from the experiment prove that the proposed method can effectively detect the apps that are similar visually even that are even under the double fold content manipulations. From the experimental analysis, it proved that the proposed CKPS: LBP method has a better efficiency of detecting 1354 similar applications from a repository of 95124 applications and also the computational time was 0.91 seconds within which a user could get the decision of whether the app repacked. The overall efficiency of the proposed algorithm is 41% greater than the average of other methods, and the time complexity is found to have been reduced by 31%. The collision probability of the Hashes was 41% better than the average value of the other state of the art methods.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.205-214
• /
• 2019

안드로이드는 앱 캐시 파일을 사용하여 앱 실행 성능을 향상시키고 있지만, 이런 최적화 기술은 검증 과정의 보안 문제를 야기할 수 있다. 본 논문에서는 개인 정보를 유출시키거나 악성 행위를 수행하도록 악용하기 위해 공격 대상앱의 앱 캐시 파일을 변조하는 "안드로이드 앱 캐시 변조 공격"에 대한 실용적인 디자인을 제시한다. 공격 설계의 타당성을 입증하기 위해 공격 도구를 구현하고 실제 안드로이드 앱을 대상으로 실험을 수행했다. 실험 결과에 따르면 29개 앱 중 25개 앱(86.2 %)이 해당 공격에 취약한 것으로 확인되었다. 안드로이드 프레임워크는 체크섬 기반의 무결성 검사를 통해 앱 캐시 파일을 보호하고 있으나, 앱 캐시 파일에 저장된 체크섬 값을 변조함으로써 효과적으로 해당 보호 방법을 우회할 수 있음을 확인했다. 안드로이드 앱 캐시 변조 공격에 대응하기 위한 2가지 가능한 방어 방법으로 (1) 앱 캐시 파일의 무결성 검사 방법과 (2) 디컴파일 방지 기술을 제안한다.