RELIEFPATH 악성앱 분석 자료 13 필라테스앨범
1. 개요
본 리포트는 악성 모바일 애플리케이션 ‘필라테스 앨범.apk’ 에 대한 RELIEFPATH의 정밀 분석 결과를 기록한 문서입니다.
해당 앱은 외형적으로 정상 앱처럼 위장되어 있으나, 내부적으로 민감정보 접근 및 다수의 ELF 실행 모듈을 포함하고 있어 악성 동작 의심 행위가 확인되었습니다.
분석은 정적 분석, 인증서 검증, 행위 코드 식별, 네트워크 흔적 추출을 기반으로 수행되었습니다.
2. 악성앱 분석 목적
• 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 통신(C2) 경로·패턴 확인 및 시각화
• 삭제/대응 절차 수립을 위한 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 개요
• 실행 시 io.dcloud.PandoraEntry를 통해 기본 런처화 – 내부 자바스크립트 및 ELF 실행 코드 존재
• 내부 assets/39285EFA.dex 확인 → 난독화된 보조 로더 가능성
• ELF 실행 파일 19개 포함 → 네이티브 모듈 기반 정보 접근 가능
• 외부 URL "http://c.appjiagu.com/apk/cr.html" 및 "http://lame.sf.net" 호출 흔적
• 인증서 CN이 동일한 self-sign 서명 → 비정상 개발자 서명 패턴
• 753개 리소스 파일 중 77개 Unknown 포맷 → 은폐된 데이터 존재 가능성
5. 요구 권한 요약
6. 탈취 코드 패턴 (예시)
7. 내부 구조 및 파일 구성 요약
파일 종류개수
| DEX | 2 |
| ELF | 19 |
| JSON | 5 |
| XML | 284 |
| PNG | 361 |
| UNKNOWN | 77 |
| 기타 (OGG, GIF, JS 등) | 32 |
➡ ELF, DEX 이중 구조 + 난독화 파일 존재.
➡ META-INF 내 androidx.* 버전 파일 다수 → 정상 라이브러리 위장용 삽입.
8. 네트워크 흔적 (예시)
• http://c.appjiagu.com/apk/cr.html (앱가드·차단 우회형 경로)
• http://lame.sf.net, http://lame.sf.net64bits (위장 서버)
• https://android.googlesource.com/toolchain/llvm-project (정상 라이브러리 위장)
📡 패턴 분석 결과, 통신 목적은 원격 구성요소 다운로드 및 실행 업데이트 관리로 추정됨.
9. 악성 코드 동작 요약
• 앱 실행 시 권한 요청 → 내부 WebView 로딩
• DEX 파일 로딩 후 ELF 호출 (JNI 기반 실행)
• 기기 정보 수집, 연락처 열람 및 서버 업로드
• APK 다운로드·설치 루틴 존재 → 2차 감염 위험
• 코드 내 CoroutineExceptionHandler, BuiltInsLoader 등 Kotlin 기반 비동기 처리 구조 → 탐지 회피 목적
10. 종합 결론
본 앱(09-25-18_signed.apk)은 정상 앱으로 위장된 정보 수집형 악성앱으로 판단됩니다.
내부 ELF 파일과 보조 DEX 로더를 이용해 권한을 우회하며, 외부 경로(c.appjiagu.com)를 통해 지속적인 업데이트 및 명령을 수신할 수 있는 구조를 가집니다.
따라서 본 앱은 즉시 삭제 조치 후, 동일 패키지명 기반 변종 존재 여부를 추가 점검해야 합니다.
📎 법적 고지 및 저작권 안내
본 보고서는 RELIEFPATH 보안분석팀의 데이터 기반 결과물이며, 법적 효력은 수사기관의 판단에 따릅니다.
무단 배포·편집을 금하며, 상업적 이용 시 사전 서면 승인이 필요합니다.
RELIEFPATH 악성앱 분석 자료 13 필라테스앨범
1. 개요
본 리포트는 악성 모바일 애플리케이션 ‘필라테스 앨범.apk’ 에 대한 RELIEFPATH의 정밀 분석 결과를 기록한 문서입니다.
해당 앱은 외형적으로 정상 앱처럼 위장되어 있으나, 내부적으로 민감정보 접근 및 다수의 ELF 실행 모듈을 포함하고 있어 악성 동작 의심 행위가 확인되었습니다.
분석은 정적 분석, 인증서 검증, 행위 코드 식별, 네트워크 흔적 추출을 기반으로 수행되었습니다.
2. 악성앱 분석 목적
• 위장 앱 여부 및 민감정보 접근 흐름 식별
• 외부 통신(C2) 경로·패턴 확인 및 시각화
• 삭제/대응 절차 수립을 위한 근거 확보
3. 분석 파일 기본 정보
4. 악성 행위 개요
• 실행 시 io.dcloud.PandoraEntry를 통해 기본 런처화 – 내부 자바스크립트 및 ELF 실행 코드 존재
• 내부 assets/39285EFA.dex 확인 → 난독화된 보조 로더 가능성
• ELF 실행 파일 19개 포함 → 네이티브 모듈 기반 정보 접근 가능
• 외부 URL "http://c.appjiagu.com/apk/cr.html" 및 "http://lame.sf.net" 호출 흔적
• 인증서 CN이 동일한 self-sign 서명 → 비정상 개발자 서명 패턴
• 753개 리소스 파일 중 77개 Unknown 포맷 → 은폐된 데이터 존재 가능성
5. 요구 권한 요약
6. 탈취 코드 패턴 (예시)
7. 내부 구조 및 파일 구성 요약
파일 종류개수
➡ ELF, DEX 이중 구조 + 난독화 파일 존재.
➡ META-INF 내 androidx.* 버전 파일 다수 → 정상 라이브러리 위장용 삽입.
8. 네트워크 흔적 (예시)
• http://c.appjiagu.com/apk/cr.html (앱가드·차단 우회형 경로)
• http://lame.sf.net, http://lame.sf.net64bits (위장 서버)
• https://android.googlesource.com/toolchain/llvm-project (정상 라이브러리 위장)
📡 패턴 분석 결과, 통신 목적은 원격 구성요소 다운로드 및 실행 업데이트 관리로 추정됨.
9. 악성 코드 동작 요약
• 앱 실행 시 권한 요청 → 내부 WebView 로딩
• DEX 파일 로딩 후 ELF 호출 (JNI 기반 실행)
• 기기 정보 수집, 연락처 열람 및 서버 업로드
• APK 다운로드·설치 루틴 존재 → 2차 감염 위험
• 코드 내 CoroutineExceptionHandler, BuiltInsLoader 등 Kotlin 기반 비동기 처리 구조 → 탐지 회피 목적
10. 종합 결론
본 앱(09-25-18_signed.apk)은 정상 앱으로 위장된 정보 수집형 악성앱으로 판단됩니다.
내부 ELF 파일과 보조 DEX 로더를 이용해 권한을 우회하며, 외부 경로(c.appjiagu.com)를 통해 지속적인 업데이트 및 명령을 수신할 수 있는 구조를 가집니다.
따라서 본 앱은 즉시 삭제 조치 후, 동일 패키지명 기반 변종 존재 여부를 추가 점검해야 합니다.
📎 법적 고지 및 저작권 안내
본 보고서는 RELIEFPATH 보안분석팀의 데이터 기반 결과물이며, 법적 효력은 수사기관의 판단에 따릅니다.
무단 배포·편집을 금하며, 상업적 이용 시 사전 서면 승인이 필요합니다.