본 리포트는 악성 모바일 애플리케이션(OeeTalk2025.apk)에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다. 분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다. 본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 악성앱 분석 목적
• 앱 내부에 포함된 악성 코드의 작동 흐름 및 서버 통신 방식 확인
• 사용자 단말 내 개인정보(주소록, 파일, 미디어 등) 접근 여부 점검
• 백그라운드 동작, 리플렉션, 난독화 여부 등 공격 특성 식별
3. 분석 파일 기본 정보
4. 악성 행위 분석
• 실행 즉시 외부 서버와의 네트워크 세션 생성 및 패킷 송수신 발생
• ibjiagu.so, libjiagu_x86.so 등 난독화 보호 라이브러리 존재
• 내부에 ELF 실행 파일 4개 포함되어 리눅스 기반 명령 수행 가능성
• 주소록, 저장소, 카메라 접근 권한을 동시에 요구하며 비정상 다중권한 요청
• POST 요청을 통한 데이터 업로드 및 암호화 통신(HTTPS) 탐지
5. 요구 권한 요약
6.탈취 코드 패턴 (예시)
7. 특이 사항
• ELF 기반 실행파일 포함 (libjiagu.so, libjiagu_x86.so, libjiagu_x86_64.so)
• APK 내부에 MessageBodyReader, CoroutineExceptionHandler 등 비정상 Java 서비스 매핑 파일 존재
• 서명자, 발급자 동일 (자체 서명된 인증서)
• Google Play 미등록, 외부 APK 파일명(6h0xfk.exe)으로 위장 이력 존재
8. 통신 시각화 요약
✅ 전송 프로토콜: HTTPS (TLS 1.3 기반 암호화 통신) ✅ MITRE 매핑:
• T1071 (Application Layer Protocol 사용)
• T1573 (Encrypted Channel)
• T1406 (Obfuscated Files or Information)
9. 포함된 주요 파일 종류
• DEX 코드 파일: classes.dex (주 실행 로직)
• ELF 실행파일: 4종 (libjiagu.so, libjiagu_x86.so, libjiagu_x86_64.so 등)
• XML: 484개 (레이아웃 및 구성요소 정의)
• PNG/WebP: 총 229개 (UI 자산)
• Kotlin 관련 빌트인 파일: 7개
• assets/ 폴더 내 .so, .json, .bin 데이터 존재
10. 종합 결론
본 앱(OeeTalk2025.apk)은 정상 통화 관련 서비스로 위장하고 있으나, 내부적으로 ELF 기반 파일 및 난독화 보호 모듈(libjiagu.so)을 포함하고 있으며, 여러 네트워크 주소로 암호화된 트래픽을 송신합니다.
주소록·저장소·카메라 접근을 동시에 수행하는 점, 리버스 엔지니어링 방지를 위한 난독화 및 자체 인증서 사용 등으로 미루어 명백한 개인정보 수집 및 원격 제어형 악성앱으로 판단됩니다.
피해 단말에서는 즉시 해당 앱을 삭제하고, 포렌식 복원 분석 및 비인가 통신 차단 조치가 권장됩니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 정식 분석 결과로, 일부 내용은 도구 한계 또는 샘플 환경에 따라 오차가 있을 수 있습니다.
본 리포트는 수사기관 또는 법원의 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작되었습니다.
본 자료는 RELIEFPATH의 지적재산으로, 무단 복제·배포 및 2차 사용을 금지합니다.
RELIEFPATH 악성앱 분석 자료 14 onetalk
1. 개요
본 리포트는 악성 모바일 애플리케이션(OeeTalk2025.apk)에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.
분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.
본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 악성앱 분석 목적
• 앱 내부에 포함된 악성 코드의 작동 흐름 및 서버 통신 방식 확인
• 사용자 단말 내 개인정보(주소록, 파일, 미디어 등) 접근 여부 점검
• 백그라운드 동작, 리플렉션, 난독화 여부 등 공격 특성 식별
3. 분석 파일 기본 정보
4. 악성 행위 분석
• 실행 즉시 외부 서버와의 네트워크 세션 생성 및 패킷 송수신 발생
• ibjiagu.so, libjiagu_x86.so 등 난독화 보호 라이브러리 존재
• 내부에 ELF 실행 파일 4개 포함되어 리눅스 기반 명령 수행 가능성
• 주소록, 저장소, 카메라 접근 권한을 동시에 요구하며 비정상 다중권한 요청
• POST 요청을 통한 데이터 업로드 및 암호화 통신(HTTPS) 탐지
5. 요구 권한 요약
6.탈취 코드 패턴 (예시)
7. 특이 사항
• ELF 기반 실행파일 포함 (libjiagu.so, libjiagu_x86.so, libjiagu_x86_64.so)
• APK 내부에 MessageBodyReader, CoroutineExceptionHandler 등 비정상 Java 서비스 매핑 파일 존재
• 서명자, 발급자 동일 (자체 서명된 인증서)
• Google Play 미등록, 외부 APK 파일명(6h0xfk.exe)으로 위장 이력 존재
8. 통신 시각화 요약
✅ 전송 프로토콜: HTTPS (TLS 1.3 기반 암호화 통신)
✅ MITRE 매핑:
• T1071 (Application Layer Protocol 사용)
• T1573 (Encrypted Channel)
• T1406 (Obfuscated Files or Information)
9. 포함된 주요 파일 종류
• DEX 코드 파일: classes.dex (주 실행 로직)
• ELF 실행파일: 4종 (libjiagu.so, libjiagu_x86.so, libjiagu_x86_64.so 등)
• XML: 484개 (레이아웃 및 구성요소 정의)
• PNG/WebP: 총 229개 (UI 자산)
• Kotlin 관련 빌트인 파일: 7개
• assets/ 폴더 내 .so, .json, .bin 데이터 존재
10. 종합 결론
본 앱(OeeTalk2025.apk)은 정상 통화 관련 서비스로 위장하고 있으나,
내부적으로 ELF 기반 파일 및 난독화 보호 모듈(libjiagu.so)을 포함하고 있으며,
여러 네트워크 주소로 암호화된 트래픽을 송신합니다.
주소록·저장소·카메라 접근을 동시에 수행하는 점,
리버스 엔지니어링 방지를 위한 난독화 및 자체 인증서 사용 등으로 미루어
명백한 개인정보 수집 및 원격 제어형 악성앱으로 판단됩니다.
피해 단말에서는 즉시 해당 앱을 삭제하고,
포렌식 복원 분석 및 비인가 통신 차단 조치가 권장됩니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 정식 분석 결과로, 일부 내용은 도구 한계 또는 샘플 환경에 따라 오차가 있을 수 있습니다.
본 리포트는 수사기관 또는 법원의 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작되었습니다.
본 자료는 RELIEFPATH의 지적재산으로, 무단 복제·배포 및 2차 사용을 금지합니다.