본 리포트는 악성 모바일 애플리케이션(夜约.apk)에 대한 RELIEFPATH의 분석 결과를 기록한 문서입니다. 분석은 VirusTotal, 샌드박스 동적 실행, 디컴파일 및 패킷 추적을 기반으로 하였으며, 앱 내부 구조와 서버 통신 패턴을 확인하였습니다. 이는 실제 피해자가 설치했을 가능성이 있는 악성앱의 정황 증거 확보 및 대응 절차 수립을 위한 자료입니다.
2. 악성앱 분석 목적
• 피해자 단말기 내 설치된 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 통신(C2) 경로 및 명령 패턴 확인 및 시각화
• 삭제 및 포렌식 대응을 위한 기술적 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 분석
• 설치 시 정상 앱처럼 위장하나, 주소록·위치·카메라 등 과도한 권한 요구
• 실행 직후 외부 서버와의 암호화된 통신 발생 (미국·아시아 지역 IP)
• libjiagu 계열 ELF 포함 → 코드 난독화 및 안티디버깅 기능
• 내부 WebView 기반 UI 사용으로 채팅·로그인 앱처럼 위장
• Dropped Files 내 공유 설정(xml)과 사용자 데이터 저장 흔적 확인
5. 악성앱의 요구 권한 요약
6. 탈취 코드 패턴(예시)
7. 악성앱의 특이 사항
• 파일 타임스탬프 조작 (1981년 생성으로 위장 → 실제 2025년)
• Dropped files: /shared_prefs/update.xml, /files/.DC4278...txt 등 사용자 정보 저장 흔적
• 내부 문자열에 localhost, dcloud, ask.dcloud.net.cn 등 개발자 흔적 존재
• WebView 호출 URL 기반으로 C2 명령 실행 가능성
8. 통신 시각화 자료
📎 첨부 이미지:
• 주요 통신 도메인: yuoaophgioashoig.today → 리포트에서는 yxxaophgio...today 로 마스킹
• IP 연결: 173.194.xxx.94, 170.106.xxx.110 등 다수
• 통신 프로토콜: HTTPS 기반 암호화 + JA3 Digest 5종 확인
9. 포함된 주요 파일 종류
• 실행 코드: classes.dex, classes2.dex, lib/arm64-v8a/*.so
• 리소스 파일: XML 284개, PNG/WebP 총 360개
• Drop 파일: 사용자 설정 XML, 숨김 txt 로그 파일 다수
• Kotlin builtins / Java bytecode → 다중 언어 혼합 구조
10. 종합 결론
본 앱(夜约.apk)은 채팅·로그인 앱으로 위장하였으나, 설치 직후 사용자 단말의 주소록·통화기록·위치·카메라·저장소에 무단 접근하고, 이를 해외 서버로 전송합니다.또한 **난독화 라이브러리(libjiagu)**를 포함하고 있어 분석 회피 기능을 갖추었으며, 드롭된 XML 설정을 통해 장기간 사용자 활동을 추적할 가능성이 있습니다.피해자가 해당 앱을 설치한 경우 즉시 삭제 조치 및 포렌식 분석이 필요하며, 유사 패키지 변종도 함께 차단해야 합니다.
📌 법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 보안 분석팀이 수행한 결과이며, 일부 정보는 분석 시점 환경에 따라 오차가 있을 수 있습니다.
본 리포트는 수사기관의 정식 수사 및 법적 판단을 대체하지 않으며, 피해자 참고용으로 제작되었습니다.
RELIEFPATH 악성앱 분석 자료 11 夜约
1. 개요
본 리포트는 악성 모바일 애플리케이션(夜约.apk)에 대한 RELIEFPATH의 분석 결과를 기록한 문서입니다.
분석은 VirusTotal, 샌드박스 동적 실행, 디컴파일 및 패킷 추적을 기반으로 하였으며, 앱 내부 구조와 서버 통신 패턴을 확인하였습니다. 이는 실제 피해자가 설치했을 가능성이 있는 악성앱의 정황 증거 확보 및 대응 절차 수립을 위한 자료입니다.
2. 악성앱 분석 목적
• 피해자 단말기 내 설치된 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 통신(C2) 경로 및 명령 패턴 확인 및 시각화
• 삭제 및 포렌식 대응을 위한 기술적 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 분석
• 설치 시 정상 앱처럼 위장하나, 주소록·위치·카메라 등 과도한 권한 요구
• 실행 직후 외부 서버와의 암호화된 통신 발생 (미국·아시아 지역 IP)
• libjiagu 계열 ELF 포함 → 코드 난독화 및 안티디버깅 기능
• 내부 WebView 기반 UI 사용으로 채팅·로그인 앱처럼 위장
• Dropped Files 내 공유 설정(xml)과 사용자 데이터 저장 흔적 확인
5. 악성앱의 요구 권한 요약
6. 탈취 코드 패턴(예시)
7. 악성앱의 특이 사항
• 파일 타임스탬프 조작 (1981년 생성으로 위장 → 실제 2025년)
• Dropped files: /shared_prefs/update.xml, /files/.DC4278...txt 등 사용자 정보 저장 흔적
• 내부 문자열에 localhost, dcloud, ask.dcloud.net.cn 등 개발자 흔적 존재
• WebView 호출 URL 기반으로 C2 명령 실행 가능성
8. 통신 시각화 자료
📎 첨부 이미지:
• 주요 통신 도메인: yuoaophgioashoig.today → 리포트에서는 yxxaophgio...today 로 마스킹
• IP 연결: 173.194.xxx.94, 170.106.xxx.110 등 다수
• 통신 프로토콜: HTTPS 기반 암호화 + JA3 Digest 5종 확인
9. 포함된 주요 파일 종류
• 실행 코드: classes.dex, classes2.dex, lib/arm64-v8a/*.so
• 리소스 파일: XML 284개, PNG/WebP 총 360개
• Drop 파일: 사용자 설정 XML, 숨김 txt 로그 파일 다수
• Kotlin builtins / Java bytecode → 다중 언어 혼합 구조
10. 종합 결론
본 앱(夜约.apk)은 채팅·로그인 앱으로 위장하였으나, 설치 직후 사용자 단말의 주소록·통화기록·위치·카메라·저장소에 무단 접근하고, 이를 해외 서버로 전송합니다.또한 **난독화 라이브러리(libjiagu)**를 포함하고 있어 분석 회피 기능을 갖추었으며, 드롭된 XML 설정을 통해 장기간 사용자 활동을 추적할 가능성이 있습니다.피해자가 해당 앱을 설치한 경우 즉시 삭제 조치 및 포렌식 분석이 필요하며, 유사 패키지 변종도 함께 차단해야 합니다.
📌 법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 보안 분석팀이 수행한 결과이며, 일부 정보는 분석 시점 환경에 따라 오차가 있을 수 있습니다.
본 리포트는 수사기관의 정식 수사 및 법적 판단을 대체하지 않으며, 피해자 참고용으로 제작되었습니다.
모든 내용은 RELIEFPATH의 지적재산으로, 무단 복제·재배포를 금지합니다.