[ 모바일 악성코드 ] - [안드로이드 앱의 4대 구성 요소, apk 파일 구성요소, flutter, Smali code, Android entry point]

https://kairo96.gitbooks.io/android/content/ch2.7.html

콘텐트 프로바이더 살펴보기 · [최신] 예제로 배우는 안드로이드 ANDROID

• [참고 블로그]

---

 

• android application fundamental
  • build an app
  • fundamentals review
  • dalvik & smail
  • application entry points
• getting started with analyzing android apps
  • where do i get mallicious apps?
  • static, dynamic analysis

---

< 안드로이드 앱의 4대 구성 요소 >

1. 액티비티
   • 사용자 인터페이스 화면을 관리하는 컴포넌트.
   • 액티비티 역할을 하기 위해서는 Activity 클래스를 상속해야 한다.
   • 액티비티가 기본적으로 가지고 있는 생명주기 메소드를 재정의해서 원하는 기능을 구현해야 한다.
2. 서비스
   • 특정 액티비티와 상관 없이 백그라운드에서 실행되는 컴포넌트.
   • 지속적으로 장시간 동작해야 하는 기능이 있다면 서비스에 구현한다.
   • Service 클래스를 상속한 후, 생명주기 메소드를 재정의해서 원하는 기능을 구현한다.
3. 브로드캐스트 수신기(Broadcast receiver)
   • 특정 브로드캐스트에 반응하는 컴포넌트.
   • 사용자 인터페이스를 가지고 있지 않다.
   • 시간대 변경, 배터리 부족, 언어 설정 변경 등이 있다.
   • 이러한 브로드캐스트를 받으면 이를 처리하고 다시 대기 모드로 진입한다.
   • 10초 이내의 작업만을 보증.
   • BroadcastReceiver 클래스를 상속한 다음에 onReceive() 메소드에 원하는 기능을 작성.
4. 콘텐츠 제공자(content provider)
   • 애플리케이션 간의 데이터 공유를 위해 표준화된 인터페이스를 제공하는 컴포넌트.
   • 콘텐트 프로바이더가 제공하는 실제 데이터는 파일 시스템이나 데이터베이스 등에 있을 수 있다.
   • 콘텐트 프로바이더에는 읽기, 쓰기, 수정하기, 삭제하기 기능을 작성할 수 있다.

---

apk 파일 --> zip으로 확장자를 바꿔서 열 수 있음 --> zip파일과 유사 구조.

 

https://developer.android.com/guide/topics/manifest/manifest-intro?hl=ko 

앱 매니페스트 개요  |  Android 개발자  |  Android Developers

[참고 자료]

 

 

< apk 파일 구성요소 >

1. androidmanifest.xml
   • 모든 앱 프로젝트는 프로젝트 소스 세트의 루트에 AndroidManifest.xml 파일(정확히 이 이름)이 있어야 한다.
   • Android 빌드 도구, Android 운영체제 및 Google Play에 앱에 관한 필수 정보를 설명한다.
2. meta-inf
   • https://i5on9i.tistory.com/504
3. classes.dex
   • Android 가상 머신인 Dalvik이 인식할 수 있도록 Java로 짜여진 코드가 컴파일되어 바이트 코드로 변환 된 소스 파일.
4. lib
5. asset/ & resources/

---

 

< flutter >

- 구글에서 2017년 5월 출시된 모바일/웹/데스크톱 크로스 플랫폼 GUI SDK이다.
- 하나의 코드 베이스로 안드로이드, 아이폰, 리눅스, 윈도우즈, 맥 및 웹 브라우저에서 모두 동작되는 앱을 위해 출시되었다.

- 사용되는 언어는 역시 구글에 의해 제창된 Dart를 사용한다.

 

---

< Smali code >

- An assembler/disassembler for Android’s dex format의 약자로 DEX 바이너리를 사람이 읽을 수 있도록 표현한 언어. 
- Dalvik 바이트 코드를 위한 어셈블리 언어

- smali코드를 해석해 프로그램의 실행원리를 파악 가능

 

---

 

• < Android entry point >
• 안드로이드 앱은 명시적인 형태의 Entry Point가 존재하지 않는다.
• 대신, 4대 컴포넌트가 모두 Entry Point가 될 수 있다. 
  • launcher activity
  • services
  • broadcast receivers
  • exported components (Services & Activity)
  • application subclass

---

안드로이드 예시 앱들

1. virustotal - https://www.virustotal.com/gui/home/upload

VirusTotal

2. koodous - 유료 …

 

 

---

apk 디컴파일러 (apk ↔ java(kotlin) ) —> Bytecode

 

 

package

permission

application

 

---

• Libs
  • armeabi, x86, x64, 나누어져 있음.
• Real world
  • 현실의 악성앱
  • RAT(Remote Access Tool)s
  • Ransomeware
  • Miner
  • VoicePhishing