응용 분야나 기대효과 등으로 대체하여도 무방함 2014년도 소프트웨어공모전 작품 전시회 아두이노를 활용한 신개념 디지털 악기 정종룡, 최종원, 이교원, 최흥규 (지도교수: 장훈) 작 품 개 요 목적 안드로이드용 뱅킹 앱의 리패키징 취약점 공격 가능성 분석 실험 개요 공격자에 의해 임의의 안드로이드 앱이 위변조 되는 취약점 실행 흐름 변경 또는 악성코드 삽입 후 구글 마켓을 통해 재배포 가능 대상 OS 버전 : 안드로이드 전 버전 실험대상 7개 은행 뱅킹앱 모두 공격에 취약함 (2012.5월 현재) 리패키징 공격 바이트코드 분석 변조된 악성앱 공격코드 삽입 역공학 스마트폰 앱 안드로이드 마켓 사용자 시스템 구성도 데모 시나리오 Smartphone provide a channel between two equipment, the Car Black Box and the Collecting System Server This system collects evidence in two way : by searching the list of police server and reporting via Smartphone 데모 환경 및 구성 데모 시나리오 부분과 큰 차이가 없을 경우 응용 분야나 기대효과 등으로 대체하여도 무방함 Notebook(공격자) 안드로이드 앱 역공학 툴을 이용해 뱅킹앱 리패키징 위변조한 뱅킹앱을 통해 공격자 계좌로 입금된 금액 확인 Galaxy Note(사용자) 뱅킹앱을 실행하는 사용자 단말 OS 버전 : 2.3.6 루팅 : 적용 안됨 Banking App(위변조 대상) 송금 서비스 이용시 공격자의 계좌로 송금되도록 위변조된 뱅킹앱 대상 앱 : W 은행 앱 대상 앱 버전 : 3.0.5