Seminar Androguard

Kurzprofil

• Kategorie: Android Static Analysis und Reverse Engineering Tooling
• Technologie: Python-Bibliothek mit CLI und optionalen Oberflächen/Arbeitsmodi
• Stärken: Struktur- und Referenzanalysen, Skriptbarkeit, Automatisierung, graphbasierte Sichten
• Einsatz: SOC/Malware, AppSec-Reviews, Toolbau, Triage-Pipelines

Kernfunktionen und Komponenten

• APK-Parsing: Paketinfos, Manifestzugriff, Ressourcenextraktion
• DEX/Bytecode: Disassembly, Methoden/Strings/Felder, Instruktionszugriff
• Analyse-Layer: Crossreferences (XREF) als Basis für Pfad- und Nutzungsanalysen
• Graphkonzepte: Call Graph und Control-Flow-nahe Ableitungen
• Sessions: Persistenz und Wiederaufnahme von Analysezuständen (gezielt einsetzen)
• Bulk-Analyse: parallele Verarbeitung und wiederholbare Exporte
• Runtime-nahe Ergänzung: Event- und Trace-Korrelation als Evidenzverstärker

Typische Einsatzszenarien

• APK-Ersttriage: schnelle Entscheidung über weitere Analyse.
• Malware-Fallarbeit: IOC-Extraktion, Verhaltensthese, Belegketten.
• Secure App Review: Findingableitung und reportfähige Evidenz.
• DevSecOps-Pipelines: automatisierte Checks, Metadatenkatalog, Regressionen.

Technische Voraussetzungen

• Python-Umgebung, reproduzierbare Abhängigkeiten, isolierte Laufzeit (virtuelle Umgebung/Container).
• Für runtime-nahe Szenarien: kontrollierter Emulator/Gerätetest und definierte Testabläufe.

Abgrenzung und Grenzen

• Statische Analyse liefert Hypothesen und Belegketten, ersetzt aber keine vollständige Laufzeitbeobachtung.
• Obfuscation kann Lesbarkeit reduzieren, erfordert Fokus auf Aufrufmuster, Referenzen und Korrelation.
• Skalierung erfordert bewusstes Daten- und Speicherdesign (Sessions nicht unkritisch für Massendaten).