'APKProtect unpack'에 해당되는 글 2건

  1. 2014.10.15 Anti_APKProtectEN
  2. 2014.03.01 Anti_APKProtect 39

Anti_APKProtectEN

2014. 10. 15. 10:15 from 카테고리 없음

 

Android Apps can be easily decompiled owing to their structural characteristics.


Accordingly, Apkprotect that obfuscation tool are used as one of solutions to protect applications.


However, it's abused to protect malware recently. So, It is been hard to analyze and take action for malware.


To address this issue, anti-apkprotect Tools developed.



<Fig1. execute >



Anti-apkprotect finally support the APKProtect  professional ALL version!



<Fig2. APKProtect.so >



Can see a file that libAPKProtect.so when apply higher version than the lite version of APKProtect from malware.



<Fig3. Unpacked >


You can have it extract the executable APK from the original APK and then Extract classes.dex from the executable APK.


Finally, anti-apkprotect will generate a file named classes_unpack_dex2jar.jar in the working folder.


<Fig4. Deobfuscation >


It's separated "encrypted string : decrypted string"

 


2015-01-14 update:


support modify(?) apk protect!


<Fig5. extracted classes dex >


will generate files classes_unpack_dex2jar.jar and classes_unpack_main_dex2jar.jar.


actual code is embedded in a folder under assets. so we may need to see files that classes_unpack_main_dex2jar.


<Fig6. decode string >


more easily analysis !


2015-02-03 update:


support new  modify(?) apk protect! (added des algorithm) and bug fix




anti_apkprotect0.43.zip





Posted by kkoha :

Anti_APKProtect

2014. 3. 1. 21:24 from 카테고리 없음

언제부터인가 스미싱 악성코드에서 APKProtect 라는 APK 보호 솔루션을 사용하고 있다.


참고자료 : http://viruslab.tistory.com/2801


APKprotect 리뷰/검토 내용 : http://chogar.blog.me/80204437121


<Fig1. http://apkprotect.com >


해당 솔루션이 적용되어 있는지 확인하는 방법은 apk안에 apkprotect.com 폴더가 생성되고 key.dat파일과 readme.txt가 생성된다.


<Fig2. apkprotect.com>


보호 된 classes.dex 파일을 dex2jar로 디컴파일을 하게 되면 에러가 발생하여 분석할 수 없다.


<Fig3. Error >



<Fig4. 잡았다 요놈! >


분석해보니 의외로 간단한 트릭이여서 Anti_APKProtect를 개발하였다. Unpacker라고 해야 하나 @.@



<Fig5. 실행>


깔끔하게 잘 열린다~


<Fig6. Java Decompiler >




여러 샘플을 제공해 주신 김남준님에게 무한한 감사를




-------------- 2014-03-31 Bugfix/Update 0.02 --------------- 



특정 조건에 의해 unpack 하지 못하는 버그가 수정되었으며, 기존 알고리즘을 개선하였습니다.







<Fig7. Registration Code >


등록 코드를  kkoha@msn.com으로  메일로 보내주셔야 사용이 가능합니다.




-------------- 2014-04-19 Bugfix/Update 0.03 --------------- 




<Fig8. ㄱ*ㄲ... >



세월호 침몰사고 사칭 스미싱앱이 디컴파일 되지 않는 문제를 수정하였습니다.


<Fig9. 실행 >




-------------- 2014-10-10 Bugfix/Update 0.04 --------------- 


드디어 APK Protect Professional 버전을 지원합니다.



<Fig10. APKProtect.so >


lite 버전보다 상위 버전으로 난독화를 적용한 앱은 lib/armeabi/libAPKProtect.so파일이 존재합니다.



<Fig11. 실행 >



<Fig12. Unpacked >


원본 apk에서 실제 동작하는 apk를 추출하여 암호화된 문자열을 복호화합니다.



<Fig9. Deobfuscation >


암호화된 문자열 : 복호화된 문자열로 구분하였습니다. 복호화된 문자열 중 마지막에 깨진 문자열은 무시하세요.


샘플을 제공해 주신 김남준님에게 무한한 감사를





<Fig9. Not Support >


다음과 같은 에러가 나오는 샘플을 저한테 보내주시면 분석해서 반영 하겠습니다.



차기 버전은 여기서 다운로드가능합니다.



http://kkoha.tistory.com/entry/AntiAPKProtecten


-------------- 2015-04-07  --------------- 


vmware에서 동작하지 않으며, java 32비트에서 동작합니다.









Posted by kkoha :