본 리포트는 악성 모바일 애플리케이션(yogaschool.apk)에 대한 RELIEFPATH의 분석 결과를 정리한 문서입니다. 분석은 바이러스토탈, 정적 디컴파일, 서명 인증서 검증, 외부 통신 흔적 식별을 통해 이루어졌습니다. 본 문서는 피해자가 실제로 확보한 악성앱 샘플에 대해 내부 구조, 행위, 서버 통신 내역을 종합적으로 기록하였습니다.
2. 악성앱 분석 목적
• 피해자 단말기에 설치된 악성앱의 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 C2(Command & Control) 서버와의 통신 경로·패턴 확인 및 시각화
• 삭제 및 대응 절차 수립을 위한 디지털 포렌식 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 분석
• 실행 직후 LoginAct 액티비티로 위장된 로그인 화면 표시
• 다수의 DEX 파일(classes5~classes9.dex) 포함 → 난독화 및 다단계 실행 가능성
• 외부 도메인 remittanceadelantado.com으로 .mp4 확장자 위장 트래픽 발생
• Google Play 서명 인증과 무관, 자체 서명된 인증서 사용 → 신뢰성 낮음
• 앱 내부 리소스 763개, 그 중 93개 Unknown 파일 존재 → 의도적 숨김 가능성
5. 악성앱의 요구 권한 요약
6. 탈취 코드 패턴 (예시)
7. 악성앱의 특이 사항
• Earliest Contents Modification이 1981년으로 기록됨 → 타임스탬프 조작
• 10개 DEX 파일 포함 → 기능 분산·탐지 우회 목적
• 자체 서명된 인증서 사용 → 정식 앱스토어 배포 불가능
• https://github.com/google/gson/... 문자열 삽입 → 정상 라이브러리 위장 가능성
RELIEFPATH 악성앱 분석 자료 12 요가스쿨
1. 개요
본 리포트는 악성 모바일 애플리케이션(yogaschool.apk)에 대한 RELIEFPATH의 분석 결과를 정리한 문서입니다. 분석은 바이러스토탈, 정적 디컴파일, 서명 인증서 검증, 외부 통신 흔적 식별을 통해 이루어졌습니다.
본 문서는 피해자가 실제로 확보한 악성앱 샘플에 대해 내부 구조, 행위, 서버 통신 내역을 종합적으로 기록하였습니다.
2. 악성앱 분석 목적
• 피해자 단말기에 설치된 악성앱의 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 C2(Command & Control) 서버와의 통신 경로·패턴 확인 및 시각화
• 삭제 및 대응 절차 수립을 위한 디지털 포렌식 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 분석
• 실행 직후 LoginAct 액티비티로 위장된 로그인 화면 표시
• 다수의 DEX 파일(classes5~classes9.dex) 포함 → 난독화 및 다단계 실행 가능성
• 외부 도메인 remittanceadelantado.com으로 .mp4 확장자 위장 트래픽 발생
• Google Play 서명 인증과 무관, 자체 서명된 인증서 사용 → 신뢰성 낮음
• 앱 내부 리소스 763개, 그 중 93개 Unknown 파일 존재 → 의도적 숨김 가능성
5. 악성앱의 요구 권한 요약
6. 탈취 코드 패턴 (예시)
7. 악성앱의 특이 사항
• Earliest Contents Modification이 1981년으로 기록됨 → 타임스탬프 조작
• 10개 DEX 파일 포함 → 기능 분산·탐지 우회 목적
• 자체 서명된 인증서 사용 → 정식 앱스토어 배포 불가능
• https://github.com/google/gson/... 문자열 삽입 → 정상 라이브러리 위장 가능성
8. 통신 시각화 자료 (예시)
확인된 통신 정보:
• 도메인: remittanceadelantado.com (생성일 2024-10-09)
• URL 요청: https://remittanceadelantado.com/vlffkxptmxm.mp4
• 연계된 IP: 104.21.64.137, 172.67.211.29 (Cloudflare ASN 13335), 142.250.125.95 (Google ASN 15169, US)
• 통신 유형: MP4 위장 HTTP 요청, POST 기반 데이터 전송 가능성
9. 포함된 주요 파일 종류
• DEX 실행 파일 10개 (classes.dex ~ classes9.dex)
• XML 502개, PNG/WebP 186개
• JSON 설정 파일 2개
• Unknown 포맷 파일 93개 → 추가 분석 필요
10. 종합 결론
본 앱은 정상 로그인 앱으로 위장하여 설치되며, 실행 즉시 민감정보 접근 권한을 요구합니다.
외부 서버(remittanceadelantado.com)와의 통신이 확인되었으며, .mp4 요청을 통해 데이터 전송을 은폐할 가능성이 높습니다.
다수의 DEX 파일과 난독화 코드, 자체 서명된 인증서 사용은 악성앱 패턴과 일치합니다.
피해자 기기에서 즉시 삭제 후, 네트워크 포렌식 및 추가 감염 여부 점검이 필요합니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 연구 자료로 작성되었으며, 법적 증거 효력은 수사기관의 판단에 따릅니다.
무단 복제·배포를 금지하며, 상업적 사용 또는 2차 편집 시 사전 승인이 필요합니다.