RELIEFPATH 악성앱 분석 자료 15 MJ쇼핑몰
1. 개요
본 리포트는 악성 모바일 애플리케이션(MJ쇼핑몰.apk)에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 악성앱 분석 목적
앱에 포함된 과도한 시스템 권한 및 개인정보 접근 범위 식별
통화·문자·연락처·알림 제어 등 민감 기능 악용 가능성 분석
백그라운드 상주 서비스 및 재실행 구조 확인을 통한 지속성 평가
3. 분석 파일 기본 정보
4. 악성 행위 분석
통화, 문자, 연락처, 통화기록 접근 권한을 동시에 요구하여 고위험 개인정보 수집 가능성 확인
SYSTEM_ALERT_WINDOW, SYSTEM_OVERLAY_WINDOW 권한을 통한 화면 가로채기 및 피싱 UI 오버레이 가능성 존재
BOOT_COMPLETED, RECEIVE_USER_PRESENT, USER_UNLOCKED 이벤트 수신을 통한 자동 재실행 구조 확인
전화 앱 대체(기본 다이얼러 요청) 및 통화 제어 서비스 등록을 통해 통화 감청·조작 가능성 내포
다수의 WatchDog·KeepAlive 계열 서비스로 강제 종료 후 재기동 구조 설계
5. 요구 권한 요약
권한 명 / 설명
INTERNET / 외부 서버와의 네트워크 통신
READ_CONTACTS, WRITE_CONTACTS / 연락처 열람 및 수정
READ_SMS, RECEIVE_SMS / 문자 수신 및 내용 접근
READ_CALL_LOG, WRITE_CALL_LOG / 통화 기록 접근 및 조작
RECORD_AUDIO / 음성 녹음 가능성
SYSTEM_ALERT_WINDOW / 화면 오버레이 기반 피싱 행위 가능
QUERY_ALL_PACKAGES / 설치 앱 전체 조회
REQUEST_IGNORE_BATTERY_OPTIMIZATIONS / 백그라운드 상주 목적
6. 탈취 코드 패턴 (예시)
7. 특이 사항
libbaiduprotect_sec_jni.so 등 ELF 기반 네이티브 라이브러리 다수 포함
자체 서명 인증서 사용 (발급자·서명자 동일)
알림 리스너, 통화 서비스, 오버레이 서비스가 복합적으로 연결된 구조
Google Play 미등록 APK 형태로 외부 유포 가능성 높음
8. 통신 시각화 요약
외부 통신 가능성은 존재하나, 암호화된 HTTPS 채널 사용으로 세부 페이로드 확인 제한
Cloudflare 및 글로벌 CDN 기반 IP 대역 사용 가능성 확인
지속 통신을 전제로 한 네트워크 상태 감지 로직 포함
9. 포함된 주요 파일 종류
DEX 코드 파일: classes.dex 외 다수 (총 27개)
ELF 실행 파일: .so 라이브러리 5종
XML 구성 파일: 495개 (컴포넌트·권한·서비스 정의)
PNG 리소스: 352개 (UI 위장 목적)
ZIP·GZ 압축 데이터 포함
10. 종합 결론
본 앱(MJ쇼핑몰.apk)은 쇼핑 또는 유틸리티 앱으로 위장되어 있으나,
통화·문자·연락처·알림·오버레이 권한을 과도하게 요구하며,
백그라운드 상주 및 자동 재실행 구조를 갖춘 고위험 애플리케이션으로 판단됩니다.
특히 기본 다이얼러 요청, 통화 제어 서비스, 알림 가로채기 구조는
금융사기·몸캠피싱·2차 피싱 시나리오에 악용될 수 있는 전형적인 악성앱 패턴과 일치합니다.
피해 단말에서는 즉시 앱 삭제 후,
통화·문자·계정·금융 앱 이상 여부 점검 및 추가 포렌식 분석이 권장됩니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 분석 결과를 기반으로 작성되었으며,
분석 환경 및 도구 한계에 따라 일부 해석에는 오차가 있을 수 있습니다.
본 리포트는 수사기관 및 법원의 판단을 대체하지 않으며,
피해 대응 및 참고 자료 용도로만 활용되어야 합니다.
본 자료는 RELIEFPATH의 지적재산으로,
RELIEFPATH 악성앱 분석 자료 15 MJ쇼핑몰
1. 개요
본 리포트는 악성 모바일 애플리케이션(MJ쇼핑몰.apk)에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 악성앱 분석 목적
앱에 포함된 과도한 시스템 권한 및 개인정보 접근 범위 식별
통화·문자·연락처·알림 제어 등 민감 기능 악용 가능성 분석
백그라운드 상주 서비스 및 재실행 구조 확인을 통한 지속성 평가
3. 분석 파일 기본 정보
4. 악성 행위 분석
통화, 문자, 연락처, 통화기록 접근 권한을 동시에 요구하여 고위험 개인정보 수집 가능성 확인
SYSTEM_ALERT_WINDOW, SYSTEM_OVERLAY_WINDOW 권한을 통한 화면 가로채기 및 피싱 UI 오버레이 가능성 존재
BOOT_COMPLETED, RECEIVE_USER_PRESENT, USER_UNLOCKED 이벤트 수신을 통한 자동 재실행 구조 확인
전화 앱 대체(기본 다이얼러 요청) 및 통화 제어 서비스 등록을 통해 통화 감청·조작 가능성 내포
다수의 WatchDog·KeepAlive 계열 서비스로 강제 종료 후 재기동 구조 설계
5. 요구 권한 요약
권한 명 / 설명
INTERNET / 외부 서버와의 네트워크 통신
READ_CONTACTS, WRITE_CONTACTS / 연락처 열람 및 수정
READ_SMS, RECEIVE_SMS / 문자 수신 및 내용 접근
READ_CALL_LOG, WRITE_CALL_LOG / 통화 기록 접근 및 조작
RECORD_AUDIO / 음성 녹음 가능성
SYSTEM_ALERT_WINDOW / 화면 오버레이 기반 피싱 행위 가능
QUERY_ALL_PACKAGES / 설치 앱 전체 조회
REQUEST_IGNORE_BATTERY_OPTIMIZATIONS / 백그라운드 상주 목적
6. 탈취 코드 패턴 (예시)
7. 특이 사항
libbaiduprotect_sec_jni.so 등 ELF 기반 네이티브 라이브러리 다수 포함
자체 서명 인증서 사용 (발급자·서명자 동일)
알림 리스너, 통화 서비스, 오버레이 서비스가 복합적으로 연결된 구조
Google Play 미등록 APK 형태로 외부 유포 가능성 높음
8. 통신 시각화 요약
외부 통신 가능성은 존재하나, 암호화된 HTTPS 채널 사용으로 세부 페이로드 확인 제한
Cloudflare 및 글로벌 CDN 기반 IP 대역 사용 가능성 확인
지속 통신을 전제로 한 네트워크 상태 감지 로직 포함
9. 포함된 주요 파일 종류
DEX 코드 파일: classes.dex 외 다수 (총 27개)
ELF 실행 파일: .so 라이브러리 5종
XML 구성 파일: 495개 (컴포넌트·권한·서비스 정의)
PNG 리소스: 352개 (UI 위장 목적)
ZIP·GZ 압축 데이터 포함
10. 종합 결론
본 앱(MJ쇼핑몰.apk)은 쇼핑 또는 유틸리티 앱으로 위장되어 있으나,
통화·문자·연락처·알림·오버레이 권한을 과도하게 요구하며,
백그라운드 상주 및 자동 재실행 구조를 갖춘 고위험 애플리케이션으로 판단됩니다.
특히 기본 다이얼러 요청, 통화 제어 서비스, 알림 가로채기 구조는
금융사기·몸캠피싱·2차 피싱 시나리오에 악용될 수 있는 전형적인 악성앱 패턴과 일치합니다.
피해 단말에서는 즉시 앱 삭제 후,
통화·문자·계정·금융 앱 이상 여부 점검 및 추가 포렌식 분석이 권장됩니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 분석 결과를 기반으로 작성되었으며,
분석 환경 및 도구 한계에 따라 일부 해석에는 오차가 있을 수 있습니다.
본 리포트는 수사기관 및 법원의 판단을 대체하지 않으며,
피해 대응 및 참고 자료 용도로만 활용되어야 합니다.
본 자료는 RELIEFPATH의 지적재산으로,