RELIEFPATH 악성앱 분석 자료 17 FILEQ
1. 개요
본 리포트는 악성 모바일 애플리케이션(fileq.apk )에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 분석 목적
앱의 실제 기능 대비 과도한 권한 요청 여부 확인
연락처·전화번호·기기 정보 수집 가능성 검증
외부 서버와의 C2(Command & Control) 통신 구조 파악
피해자 소명, 법률 대응, 수사 참고 자료로 활용 가능한 객관적 분석 근거 제공
3. 파일 기본 정보
4. 악성 행위 분석
4-1. 코드 및 구조적 특징
4-2. 환경 탐지 행위
Zenbox 분석 기준 다음 행위가 확인됨:
CPU 이름 확인
네트워크 어댑터 탐지
디버그 환경 감지
통신 가능 환경 여부 확인
➡ 샌드박스·에뮬레이터 회피 목적 행위로 판단됨
(추측 아님, Behavior Tag 기반)
5. 요구 권한 요약 및 위험성
요청 권한 중 고위험 권한:
READ_CONTACTS
READ_PHONE_NUMBERS
READ_PHONE_STATE
READ_MEDIA_IMAGES
READ_MEDIA_VIDEO
READ_EXTERNAL_STORAGE
📌 근거:
6. 탈취 코드 패턴 및 행위 근거
확인된 API 엔드포인트
https://y7h2189nn231eda12143a.online/prod-api/webapp/login https://y7h2189nn231eda12143a.online/prod-api/webapp/saveAddressBook
7. 특이 사항 (타임스탬프 조작)
📌 목적:
분석 툴의 시간 기반 탐지 우회
제작 환경 흔적 제거
8. 통신 시각화 요약 (MITRE 매핑)
8-1. C2 및 네트워크 통신
➡ 정상 트래픽으로 위장하기 위한 우회 기법
8-2. MITRE ATT&CK 매핑
9. 포함 파일 구성 요약
10. 종합 결론
본 APK는 다음 특징을 종합할 때 악성 정보 수집 앱으로 판단됩니다:
기능 대비 과도한 개인정보 접근 권한
주소록 저장 API 명시적 존재
난독화 + 환경 탐지 + 암호화 통신 조합
정상 앱으로 위장된 UI 구조
MITRE 기준 C2 행위 명확
➡ 연락처 탈취 후 서버 전송형 악성앱으로 분류 가능
(단정 근거: 권한 + API + 트래픽 + 행위 태그)
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 분석 결과를 기반으로 작성되었으며,
도구 환경 및 샘플 상태에 따라 일부 행위는 추가 분석 시 변동될 수 있습니다.
본 리포트는 수사기관 또는 법원의 판단을 대체하지 않으며,
피해자 참고용 자료로 활용될 수 있습니다.
본 자료는 RELIEFPATH의 지적재산으로
무단 복제·배포 및 2차 사용을 금지합니다.
RELIEFPATH 악성앱 분석 자료 17 FILEQ
1. 개요
본 리포트는 악성 모바일 애플리케이션(fileq.apk )에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 분석 목적
앱의 실제 기능 대비 과도한 권한 요청 여부 확인
연락처·전화번호·기기 정보 수집 가능성 검증
외부 서버와의 C2(Command & Control) 통신 구조 파악
피해자 소명, 법률 대응, 수사 참고 자료로 활용 가능한 객관적 분석 근거 제공
3. 파일 기본 정보
4. 악성 행위 분석
4-1. 코드 및 구조적 특징
패키지/액티비티 명이 무작위 문자열로 구성
예: dklleesezsakhptghsdlau, kpcymdsmhipydfojbofpw
정상 앱에서 거의 사용되지 않는 구조 → 난독화 목적
Activity 수가 비정상적으로 과다 (100개 이상)
Reflection, Obfuscation 동작 탐지됨
→ 정적 분석 회피 의도
4-2. 환경 탐지 행위
Zenbox 분석 기준 다음 행위가 확인됨:
CPU 이름 확인
네트워크 어댑터 탐지
디버그 환경 감지
통신 가능 환경 여부 확인
➡ 샌드박스·에뮬레이터 회피 목적 행위로 판단됨
(추측 아님, Behavior Tag 기반)
5. 요구 권한 요약 및 위험성
요청 권한 중 고위험 권한:
READ_CONTACTS
READ_PHONE_NUMBERS
READ_PHONE_STATE
READ_MEDIA_IMAGES
READ_MEDIA_VIDEO
READ_EXTERNAL_STORAGE
📌 근거:
로그인 앱 성격 대비 연락처·전화번호·미디어 접근은 기능적으로 불필요
이후 분석된 API 엔드포인트에서 주소록 전송 기능 확인
6. 탈취 코드 패턴 및 행위 근거
확인된 API 엔드포인트
saveAddressBook 엔드포인트 존재
→ 주소록 데이터 서버 전송 구조 명확
이는 단순 추측이 아닌 URL 스트링 및 동적 트래픽 분석 근거
7. 특이 사항 (타임스탬프 조작)
모든 파일의 수정 시간이
1981-01-01 01:01:02로 고정
정상 앱에서는 거의 발생하지 않는 현상
📌 목적:
분석 툴의 시간 기반 탐지 우회
제작 환경 흔적 제거
8. 통신 시각화 요약 (MITRE 매핑)
8-1. C2 및 네트워크 통신
HTTPS 기반 암호화 통신 사용
Google IP 대역 혼합 사용
(173.194.x.x / 142.250.x.x 등)
➡ 정상 트래픽으로 위장하기 위한 우회 기법
8-2. MITRE ATT&CK 매핑
9. 포함 파일 구성 요약
DEX: 1
XML: 853
이미지 리소스 다수
PROF / PROFM 파일 포함
→ 릴리즈 빌드 + 프로파일 정보 유지
10. 종합 결론
본 APK는 다음 특징을 종합할 때 악성 정보 수집 앱으로 판단됩니다:
기능 대비 과도한 개인정보 접근 권한
주소록 저장 API 명시적 존재
난독화 + 환경 탐지 + 암호화 통신 조합
정상 앱으로 위장된 UI 구조
MITRE 기준 C2 행위 명확
➡ 연락처 탈취 후 서버 전송형 악성앱으로 분류 가능
(단정 근거: 권한 + API + 트래픽 + 행위 태그)
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 분석 결과를 기반으로 작성되었으며,
도구 환경 및 샘플 상태에 따라 일부 행위는 추가 분석 시 변동될 수 있습니다.
본 리포트는 수사기관 또는 법원의 판단을 대체하지 않으며,
피해자 참고용 자료로 활용될 수 있습니다.
본 자료는 RELIEFPATH의 지적재산으로
무단 복제·배포 및 2차 사용을 금지합니다.