본 리포트는 2025년 5월 수집된 악성 모바일 애플리케이션(Talk.apk)에 대한 RELIEFPATH 분석 결과를 기록한 자료입니다. 분석은 바이러스토탈 정적 분석, 네트워크 패킷 캡처, 수동 디컴파일, 샌드박스 실행 등을 기반으로 진행되었습니다.
2. 악성앱 분석 목적
8. 통신 시각화 자료
📎 첨부 이미지:
주요 도메인: comXXXionbk.com, infXXXta-pa.googleapis.com
접속 IP: 10X.2X.6X.1X0, 17X.19X.19X.1X8 등 다수 확인
통신 포트: 443 (HTTPS 기반 암호화 통신)
JA3 Digest: 다중 SSL fingerprint 분석됨 (9b02ebd3... 등)
사용자 기기에 설치된 앱의 권한 요청 및 행위 분석
외부 서버와의 통신 시도 확인 및 행위 흐름 파악
내부 구조와 포함된 코드 및 파일의 보안 위협 요소 식별
3. 분석 파일 기본 정보
4. 악성 행위 분석
민감 권한 다수 요청: 카메라, 위치, 연락처, 통화기록, 문자메시지, 외부저장소 등
실행 후 즉시 comXXXionbk.com, inXXXata-pa.googleapis.com 등과 통신 시도
앱 내 libjiagu_x86_64.so 포함되어 있어 난독화 및 보안 우회 목적 추정
샌드박스 결과: 반사 호출(reflection), 런타임 모듈 로딩 등 방어회피 기법 사용
5. 악성앱의 주요 요구 권한 요약
10. 종합 결론
해당 앱은 대화형 앱 또는 서비스 앱처럼 위장하고 있으나, 실제로는 민감 정보에 대한 과도한 접근을 시도하며 외부 서버와의 연결을 통해 다양한 정보 유출 경로를 구성합니다. 백그라운드 실행, 정교한 코드 난독화, 다단계 액티비티 구성 등 분석 회피 기술이 포함되어 있어 전문가 분석이 요구되는 위협군으로 판단됩니다.
사용자 기기에 해당 앱이 설치된 경우, 즉시 삭제 조치 및 통신 로그와 저장 데이터 백업이 권장됩니다.
6. 탈취 가능 코드 흐름 요약 (예시)
7. 악성앱의 특이 사항
인증서 발급자가 중국어 지역명을 사용하며, 실제 존재하지 않는 기관으로 추정됨
ELF 기반 .so 바이너리 파일 다수 포함되어 native library 기반 동작 수행
libjiagu_*.so 파일 탐지됨 → 알리바바 계열 보안 우회 패킹툴로 악용된 사례 존재
메인 액티비티 외에 유지보수, 고객센터 등 위장용 화면 존재 (MaintenanceActivity, KefuActivity 등)
8. 통신 시각화 자료
📎 첨부 이미지:
주요 도메인: comXXXionbk.com, infXXXta-pa.googleapis.com
접속 IP: 10X.2X.6X.1X0, 17X.19X.19X.1X8 등 다수 확인
통신 포트: 443 (HTTPS 기반 암호화 통신)
JA3 Digest: 다중 SSL fingerprint 분석됨 (9b02ebd3... 등)
9. 포함된 주요 파일 종류
classes.dex 1개 (단일 덱스 구조)
ELF 실행 파일 4개 포함 (NDK native 코드 활용)
다수의 XML, PNG, WEBP 리소스 파일 존재 (471+230+17)
JSON, MP4, OGG, .so 외부 바이너리 포함
10. 종합 결론
해당 앱은 대화형 앱 또는 서비스 앱처럼 위장하고 있으나, 실제로는 민감 정보에 대한 과도한 접근을 시도하며 외부 서버와의 연결을 통해 다양한 정보 유출 경로를 구성합니다. 백그라운드 실행, 정교한 코드 난독화, 다단계 액티비티 구성 등 분석 회피 기술이 포함되어 있어 전문가 분석이 요구되는 위협군으로 판단됩니다.
📌법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 내부 보안 분석팀이 수집한 정보와 도구 기반 분석에 따라 작성된 것으로, 일부 정보는 분석 시점의 환경 또는 도구 한계에 따라 정확하지 않을 수 있습니다. 본 리포트는 수사기관 또는 전문가 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작된 문서입니다.
본 자료의 모든 내용은 RELIEFPATH의 지적재산이며, 무단 복제 및 배포를 금지합니다. 상업적 사용, 2차 편집, 이미지 및 코드 일부 또는 전체 사용 시에는 사전 동의가 필요합니다.
RELIEFPATH 악성앱 분석 자료 05 비밀톡
1. 개요
본 리포트는 2025년 5월 수집된 악성 모바일 애플리케이션(Talk.apk)에 대한 RELIEFPATH 분석 결과를 기록한 자료입니다. 분석은 바이러스토탈 정적 분석, 네트워크 패킷 캡처, 수동 디컴파일, 샌드박스 실행 등을 기반으로 진행되었습니다.
2. 악성앱 분석 목적
8. 통신 시각화 자료
📎 첨부 이미지:
주요 도메인: comXXXionbk.com, infXXXta-pa.googleapis.com
접속 IP: 10X.2X.6X.1X0, 17X.19X.19X.1X8 등 다수 확인
통신 포트: 443 (HTTPS 기반 암호화 통신)
JA3 Digest: 다중 SSL fingerprint 분석됨 (9b02ebd3... 등)
사용자 기기에 설치된 앱의 권한 요청 및 행위 분석
외부 서버와의 통신 시도 확인 및 행위 흐름 파악
내부 구조와 포함된 코드 및 파일의 보안 위협 요소 식별
3. 분석 파일 기본 정보
4. 악성 행위 분석
민감 권한 다수 요청: 카메라, 위치, 연락처, 통화기록, 문자메시지, 외부저장소 등
실행 후 즉시 comXXXionbk.com, inXXXata-pa.googleapis.com 등과 통신 시도
앱 내 libjiagu_x86_64.so 포함되어 있어 난독화 및 보안 우회 목적 추정
샌드박스 결과: 반사 호출(reflection), 런타임 모듈 로딩 등 방어회피 기법 사용
5. 악성앱의 주요 요구 권한 요약
10. 종합 결론
해당 앱은 대화형 앱 또는 서비스 앱처럼 위장하고 있으나, 실제로는 민감 정보에 대한 과도한 접근을 시도하며 외부 서버와의 연결을 통해 다양한 정보 유출 경로를 구성합니다. 백그라운드 실행, 정교한 코드 난독화, 다단계 액티비티 구성 등 분석 회피 기술이 포함되어 있어 전문가 분석이 요구되는 위협군으로 판단됩니다.
사용자 기기에 해당 앱이 설치된 경우, 즉시 삭제 조치 및 통신 로그와 저장 데이터 백업이 권장됩니다.
6. 탈취 가능 코드 흐름 요약 (예시)
7. 악성앱의 특이 사항
인증서 발급자가 중국어 지역명을 사용하며, 실제 존재하지 않는 기관으로 추정됨
ELF 기반 .so 바이너리 파일 다수 포함되어 native library 기반 동작 수행
libjiagu_*.so 파일 탐지됨 → 알리바바 계열 보안 우회 패킹툴로 악용된 사례 존재
메인 액티비티 외에 유지보수, 고객센터 등 위장용 화면 존재 (MaintenanceActivity, KefuActivity 등)
8. 통신 시각화 자료
📎 첨부 이미지:
주요 도메인: comXXXionbk.com, infXXXta-pa.googleapis.com
접속 IP: 10X.2X.6X.1X0, 17X.19X.19X.1X8 등 다수 확인
통신 포트: 443 (HTTPS 기반 암호화 통신)
JA3 Digest: 다중 SSL fingerprint 분석됨 (9b02ebd3... 등)
9. 포함된 주요 파일 종류
classes.dex 1개 (단일 덱스 구조)
ELF 실행 파일 4개 포함 (NDK native 코드 활용)
다수의 XML, PNG, WEBP 리소스 파일 존재 (471+230+17)
JSON, MP4, OGG, .so 외부 바이너리 포함
10. 종합 결론
해당 앱은 대화형 앱 또는 서비스 앱처럼 위장하고 있으나, 실제로는 민감 정보에 대한 과도한 접근을 시도하며 외부 서버와의 연결을 통해 다양한 정보 유출 경로를 구성합니다. 백그라운드 실행, 정교한 코드 난독화, 다단계 액티비티 구성 등 분석 회피 기술이 포함되어 있어 전문가 분석이 요구되는 위협군으로 판단됩니다.
📌법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 내부 보안 분석팀이 수집한 정보와 도구 기반 분석에 따라 작성된 것으로, 일부 정보는 분석 시점의 환경 또는 도구 한계에 따라 정확하지 않을 수 있습니다. 본 리포트는 수사기관 또는 전문가 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작된 문서입니다.
본 자료의 모든 내용은 RELIEFPATH의 지적재산이며, 무단 복제 및 배포를 금지합니다. 상업적 사용, 2차 편집, 이미지 및 코드 일부 또는 전체 사용 시에는 사전 동의가 필요합니다.