RELIEFPATH 악성앱 분석 자료 10 파일존
1. 개요
본 리포트는 2025년 8월 분석된 악성 모바일 애플리케이션(파일존.apk)에 대한 RELIEFPATH 보안 분석 결과입니다. 정적 분석, 네트워크 추적, 동적 환경 감시, 디컴파일링을 통해 앱의 민감 정보 접근 행위 및 외부 통신 흔적을 확인하였습니다.
2. 악성앱 분석 목적
• 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 통신(C2) 경로·패턴 확인 및 시각화
• 삭제/대응 절차 수립을 위한 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 분석
영상 편집·게임 UI로 위장했으나 내부에 백그라운드 정보 수집 루틴 포함
READ_CONTACTS, READ_MEDIA_IMAGES, READ_PHONE_NUMBERS 등 고위험 권한 요청
yubtrqvz12254.online 외부 도메인과 지속적으로 암호화된 데이터 송수신
Google Cloud·Cloudflare 인프라를 사용해 C2 서버를 은폐
.dex 및 .so 네이티브 라이브러리 활용해 탐지 회피
5. 악성앱의 요구 권한 요약
6. 탈취 가능 코드 흐름 요약 (예시)
7. 악성앱의 특이 사항
• Kotlin 기반 비동기 처리 구조 (CoroutineDispatcher 등) 활용
• META-INF/services 디렉토리 내 API 자동탐지 모듈 발견
• HTTPS 통신이나 자체 서명 인증서 사용으로 신뢰성 위장
• JA3 Digest 기반 통신 패턴 다양성 확보로 탐지 회피 가능성
8. 통신 시각화 자료
📎 첨부 이미지:
• 주요 C2 도메인(yubtrqvz12254.online) 및 Google Cloud·Cloudflare 기반 중계 서버
• JA3 Digest: 69659b6d..., 893d2529..., 8f35687f... 등
• TLS 암호화 통신 다수 확인
9. 포함된 주요 파일 종류
• .dex 파일 2개
• Kotlin Builtins 7개
• PNG 214개 / XML 642개
• 기타 설정 파일(META-INF, JSON, properties 등)
10. 종합 결론
• 해당 앱은 정상 앱으로 위장하였으나, 주소록·미디어·전화번호 등 민감 정보를 무단 수집하는 악성 행위를 수행합니다.
• 외부 C2 서버와 지속적 통신을 통해 정보 탈취 가능성이 높으며, 탐지를 우회하는 다양한 기법을 내장하고 있습니다.
• 기기 초기화 및 신뢰할 수 있는 보안 솔루션을 통한 점검이 필요합니다.
📌 법적 고지 및 저작권 안내
• 본 보고서는 RELIEFPATH의 독립 분석 결과이며, 수사기관의 결과를 대체하지 않으며 참고 용도로만 사용되어야 합니다.
• 문서 내 도메인/IP는 분석 당시 기준으로 일부 마스킹되어 있습니다.
• 본 콘텐츠는 RELIEFPATH의 자산이며 사전 허가 없이 복제·배포할 수 없습니다.
RELIEFPATH 악성앱 분석 자료 10 파일존
1. 개요
본 리포트는 2025년 8월 분석된 악성 모바일 애플리케이션(파일존.apk)에 대한 RELIEFPATH 보안 분석 결과입니다. 정적 분석, 네트워크 추적, 동적 환경 감시, 디컴파일링을 통해 앱의 민감 정보 접근 행위 및 외부 통신 흔적을 확인하였습니다.
2. 악성앱 분석 목적
• 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 통신(C2) 경로·패턴 확인 및 시각화
• 삭제/대응 절차 수립을 위한 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 분석
영상 편집·게임 UI로 위장했으나 내부에 백그라운드 정보 수집 루틴 포함
READ_CONTACTS, READ_MEDIA_IMAGES, READ_PHONE_NUMBERS 등 고위험 권한 요청
yubtrqvz12254.online 외부 도메인과 지속적으로 암호화된 데이터 송수신
Google Cloud·Cloudflare 인프라를 사용해 C2 서버를 은폐
.dex 및 .so 네이티브 라이브러리 활용해 탐지 회피
5. 악성앱의 요구 권한 요약
6. 탈취 가능 코드 흐름 요약 (예시)
7. 악성앱의 특이 사항
• Kotlin 기반 비동기 처리 구조 (CoroutineDispatcher 등) 활용
• META-INF/services 디렉토리 내 API 자동탐지 모듈 발견
• HTTPS 통신이나 자체 서명 인증서 사용으로 신뢰성 위장
• JA3 Digest 기반 통신 패턴 다양성 확보로 탐지 회피 가능성
8. 통신 시각화 자료
📎 첨부 이미지:
• 주요 C2 도메인(yubtrqvz12254.online) 및 Google Cloud·Cloudflare 기반 중계 서버
• JA3 Digest: 69659b6d..., 893d2529..., 8f35687f... 등
• TLS 암호화 통신 다수 확인
9. 포함된 주요 파일 종류
• .dex 파일 2개
• Kotlin Builtins 7개
• PNG 214개 / XML 642개
• 기타 설정 파일(META-INF, JSON, properties 등)
10. 종합 결론
• 해당 앱은 정상 앱으로 위장하였으나, 주소록·미디어·전화번호 등 민감 정보를 무단 수집하는 악성 행위를 수행합니다.
• 외부 C2 서버와 지속적 통신을 통해 정보 탈취 가능성이 높으며, 탐지를 우회하는 다양한 기법을 내장하고 있습니다.
• 기기 초기화 및 신뢰할 수 있는 보안 솔루션을 통한 점검이 필요합니다.
📌 법적 고지 및 저작권 안내
• 본 보고서는 RELIEFPATH의 독립 분석 결과이며, 수사기관의 결과를 대체하지 않으며 참고 용도로만 사용되어야 합니다.
• 문서 내 도메인/IP는 분석 당시 기준으로 일부 마스킹되어 있습니다.
• 본 콘텐츠는 RELIEFPATH의 자산이며 사전 허가 없이 복제·배포할 수 없습니다.