MobSF를 이용한 앱 분석

MobSF란?

MobSF는 오픈소스 모바일 애플리케이션 보안 분석 도구로, Android, iOS, Windows 앱을 지원합니다. MobSF는 정적 분석과 동적 분석을 모두 제공하여 앱의 보안성을 다각도로 평가할 수 있습니다.

MobSF github: https://github.com/MobSF/Mobile-Security-Framework-MobSF

지원 플랫폼: Android, iOS, Windows

APK, IPA, APPX 파일 분석 지원

[주요 특징]
정적 분석: 앱의 소스 코드, 권한, 파일 구조, 인증서 정보 등을 분석합니다.

동적 분석: 에뮬레이터 환경에서 앱의 실행 중 동작을 추적하고 의심스러운 활동을 기록합니다.

API 지원: RESTful API를 통해 MobSF의 기능을 자동화할 수 있습니다.

온프레미스 설치 가능: 데이터를 로컬 환경에서 안전하게 처리할 수 있습니다.

Slack 커뮤니티: 사용자 간의 활발한 정보 공유 및 지원.

[MobSF의 장점]
오픈소스: 누구나 무료로 사용 가능하며, 커뮤니티를 통해 지속적으로 개선되고 있습니다.

사용 편리성: 웹 기반의 직관적인 인터페이스 제공.

다양한 분석 도구 통합: APKTool, JADX, Frida 등을 활용하여 분석 결과를 통합 제공합니다.

[MobSF의 한계]
성능 문제: 앱 크기 증가 시 분석 속도가 느려질 수 있습니다.
동적 분석 제약: 특정 에뮬레이터 환경에서 실행 문제가 발생할 수 있습니다.

[MobSF 메인화면]

ㄴ> 여기에 자신이 분석하고 싶은 파일을 드래그&드롭하면된다.(필자는 apk를 분석하였음)

[분석 화면]

처음에 파일을 분석하면 위 이미지처럼 정적분석한 결과를 나타내주며, 파일안에 있는 파일들을 하나하나 분석한 결과를 보여준다.

다만, 암호화되어있는 dex파일들은 탐지하지 못하기때문에 사용자가 복호화해서 앱을 다시 리패키징한 후 분석을 진행해야 전체적인 분석이 가능하다.

이어서 동적 분석은 안드로이드 스튜디오 혹은 지니 모션을 이용하여 가상 디바이스를 연결하면 진행할 수 있다.

MobSF와 생성한 가상 디바이스를 연결하여 동적 분석을 진행하면 실제 분석하고자 하는 앱을 실행시키면서 발생하는 증상들을 관찰하며, 그 결과를 정적 분석과 동일하게 보고서 형태로 받아볼 수 있다.

다만, 주의점은 가상 디바이스를 생성할때 앱에서 요구하는 OS, SDK 등의 버전에 충족하는 디바이스를 생성해야하며, 루팅이 필요한 경우에는 스토어가 포함되어있지않은 버전으로 디바이스를 생성해야한다.