안드로이드 정적 분석 - 2

저번에 작성했던 부분에서 마지막에 작성한 부분에서 알게 된 내용과 추가적인 내용을 작성해보기로 했다.

이 부분은 특정 부분들에 대한 id 값을 지정해 주는 부분이라고 소개했다. 이 부분에 대해서 상당히 수상하게 생각하고 있었다는 것을 떠올린다.

이 부분에 대해서 찾아보고자 한 숫자에 대해서 검색을 해보았고, 다음과 같이 메소드가 구성되어 있는 것을 확인할 수 있었다.

 

 

이 숫자의 경우에 따라 기능하는 것이 다른 것을 파악하여 일단 찾아보았다. 그러니 다음과 같은 것을 찾을 수 있었다.

 

 

결과적으로는 이상한 것이 아닌 안드로이드에서 쓰이는 것을 바인더로 지정해 놓고, 이에 따라 숫자를 부여하여 쓰는 것을 알 수 있었다. 위의 부분은 트랙잭션을 위해 지정해 놓은 바인더였던 것이다. 암호화나 알고리즘적인 부분이 아닌 것을 알 수 있었다. 위의 사진 외에도 다른 숫자 모두 바인더에서 안드로이드에서 필요한 기능을 사용하기 위해 지정되어 있는 것을 파악할 수 있었다.

 

그리고 추가적으로 안드로이드에서 퍼미션을 요구하는 부분을 확인할 수 있었는데, 다음과 같다.

위의 사진들은 모두 GPS나 네트워크가 접근 가능한 지를 파악하여 사용자의 지도 내용을 획득하는 부분인데, 악의적인 내용이나 그런 부분은 없었다. 다른 퍼미션들도 악의적인 내용은 찾아볼 수 없었다.

 

다음으로 URL에 대해서 분석을 해보았다. “URL”이나 “email”이 들어간 부분을 찾아보았는데, email이 들어간 부분은 이 게임을 만든 회사로 문의를 보낼 때 필요한 이메일이 기록되어 있고 정보를 캐내거나 조작하는 부분 같은 것은 찾을 수 없었다. 그리고 URL에 대해서 찾아보다가 특이한 부분 하나를 찾을 수 있었다. 다음과 같다.

뭔가 대단히 수상해 보이는 URL이여서 인터넷으로 접속해보았다. 다음과 같다.

 

자세한 것은 모르겠지만 requestAd 메소드에서 찾을 수 있는 것으로 보아 요청되어지는 광고의 버전이 3.0이고 resultCode가 300인 것을 알 수 있었다. 여기서 resultCode부분을 손대서(예를 들면, 코드 값을 없는 코드 값으로 넣거나 파이프 같은 연결을 사용하여 FSB나 기타 취약점을 공격하는 것) 영향을 미칠 수 있다고 생각되었다. 정적 분석이기에 이 부분에 대해서는 추후에 하는 것으로 보고 있다.