RELIEFPATH 악성앱 분석 자료 18 블링믈메이크
1. 개요
본 리포트는 악성 모바일 애플리케이션(kdream.apk )에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 파일 기본 정보
📌 특징
패키지명: 무작위 문자열 구조
Main Activity: io.dcloud.PandoraEntry
Hybrid WebApp 기반 구조 (DCloud 엔진 사용)
Target SDK 29 (구형 정책 유지 가능성)
3. 인증서 분석
발급자/주체 동일 (Self-Signed)
모든 필드 값: weile123
유효기간: 100년 (2125년까지)
📌 정상 상용 앱에서 보기 어려운 인증서 패턴
→ 자동 생성·대량 제작형 악성앱 가능성 높음
4. 권한 분석 (위험도 상)
요청 권한 중 고위험 권한:
📌 분석 결과:
➡ 정상 서비스 앱 범위를 초과하는 권한 세트
5. 파일 구성 및 로딩 구조
📦 포함 파일
ELF (Linux 실행 파일): 36개
DEX: 2
JS/CSS 다수 (Hybrid 구조)
UNKNOWN 파일 147개
📂 실행 중 드롭 파일
📌 의미:
실행 후 추가 DEX 생성
런타임 동적 코드 로딩
분석 회피 목적 가능성
6. 동적 분석 결과 (Zenbox)
✔ 탐지된 행위 태그
checks-cpu-name
detect-debug-environment
reflection
telephony
checks-gps
📌 의미:
가상환경 탐지
디버깅 탐지
기기 정보 수집
통신 준비 행위
7. MITRE ATT&CK 매핑
🔴 Command & Control (TA0011)
🟠 Credential Access
🟡 Discovery
T1418 – Software Discovery
T1421 – Network Connection Discovery
T1422 – Network Configuration Discovery
T1424 – Process Discovery
T1426 – System Information Discovery
T1430 – Location Tracking
🟣 Collection
📌 단순 WebApp 수준을 넘는 공격 행위 매핑 다수 확인
8. 통신 시각화 요약
🌐 외부 통신 IP
173.194.x.x (Google ASN 15169)
142.250.x.x (Google ASN 15169)
192.178.x.x
104.21.64.137 (Cloudflare ASN 13335)
49.51.73.146 (ASN 132203)
🔐 TLS SNI
📌 분석 해석:
Google 인프라 트래픽 혼합
CDN 기반 위장 가능성
HTTPS 암호화 채널 사용
JA3 Fingerprint 5종 식별
📊 구조 요약
감염 단말
↓
동적 DEX 로딩
↓
HTTPS 암호화 채널
↓
Google ASN / Cloudflare 경유 IP
➡ 정상 트래픽과 혼합되어 탐지 회피 가능 구조
9. 지속성(Persistence) 분석
BOOT_COMPLETED 수신
WorkManager 재스케줄
Foreground Service 유지
SYSTEM_ALERT_WINDOW 권한
📌 기기 재부팅 후 자동 실행 가능
10. 종합 판단
본 APK는 다음 근거를 종합할 때 악성 행위 가능성이 매우 높은 애플리케이션으로 판단됩니다.
🔎 판단 근거
무작위 패키지명 구조
Self-Signed 100년 인증서
동적 DEX 다중 생성
오디오 캡처 + 연락처 접근 권한
부팅 자동 실행
Google 인프라 혼합 암호화 통신
MITRE 다중 공격 전술 매핑
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 분석 결과를 기반으로 작성되었으며,
도구 환경 및 샘플 상태에 따라 일부 행위는 추가 분석 시 변동될 수 있습니다.
본 리포트는 수사기관 또는 법원의 판단을 대체하지 않으며,
피해자 참고용 자료로 활용될 수 있습니다.
본 자료는 RELIEFPATH의 지적재산으로
무단 복제·배포 및 2차 사용을 금지합니다.
RELIEFPATH 악성앱 분석 자료 18 블링믈메이크
1. 개요
본 리포트는 악성 모바일 애플리케이션(kdream.apk )에 대한 RELIEFPATH 보안 분석팀의 정밀 분석 결과를 기록한 문서입니다.분석은 바이러스토탈, 수동 디컴파일, 정적 코드 분석 및 패킷 트래픽 캡처를 병행하여 진행되었습니다.본 문서는 실제 피해 단말기에서 확보된 악성앱의 구조, 행위, 서버 통신 내역을 기술적 근거를 중심으로 정리하였습니다.
2. 파일 기본 정보
📌 특징
패키지명: 무작위 문자열 구조
Main Activity: io.dcloud.PandoraEntry
Hybrid WebApp 기반 구조 (DCloud 엔진 사용)
Target SDK 29 (구형 정책 유지 가능성)
3. 인증서 분석
발급자/주체 동일 (Self-Signed)
모든 필드 값: weile123
유효기간: 100년 (2125년까지)
📌 정상 상용 앱에서 보기 어려운 인증서 패턴
→ 자동 생성·대량 제작형 악성앱 가능성 높음
4. 권한 분석 (위험도 상)
요청 권한 중 고위험 권한:
READ_CONTACTS
WRITE_CONTACTS
CALL_PHONE
READ_PHONE_STATE
GET_ACCOUNTS
READ_LOGS
RECORD_AUDIO
SYSTEM_ALERT_WINDOW
INSTALL_PACKAGES
REQUEST_INSTALL_PACKAGES
RECEIVE_BOOT_COMPLETED
MOUNT_UNMOUNT_FILESYSTEMS
📌 분석 결과:
단순 WebView 기반 앱 구조 대비 과도한 시스템 권한
설치/오버레이/부팅 자동 실행 포함
오디오 캡처 및 로그 접근 가능
➡ 정상 서비스 앱 범위를 초과하는 권한 세트
5. 파일 구성 및 로딩 구조
📦 포함 파일
ELF (Linux 실행 파일): 36개
DEX: 2
JS/CSS 다수 (Hybrid 구조)
UNKNOWN 파일 147개
📂 실행 중 드롭 파일
📌 의미:
실행 후 추가 DEX 생성
런타임 동적 코드 로딩
분석 회피 목적 가능성
6. 동적 분석 결과 (Zenbox)
✔ 탐지된 행위 태그
checks-cpu-name
detect-debug-environment
reflection
telephony
checks-gps
📌 의미:
가상환경 탐지
디버깅 탐지
기기 정보 수집
통신 준비 행위
7. MITRE ATT&CK 매핑
🔴 Command & Control (TA0011)
T1071 – Application Layer Protocol
T1573 – Encrypted Channel
🟠 Credential Access
T1413 – Device Logs 접근
🟡 Discovery
T1418 – Software Discovery
T1421 – Network Connection Discovery
T1422 – Network Configuration Discovery
T1424 – Process Discovery
T1426 – System Information Discovery
T1430 – Location Tracking
🟣 Collection
T1409 – Stored Application Data
T1429 – Audio Capture
T1430 – Location Tracking
📌 단순 WebApp 수준을 넘는 공격 행위 매핑 다수 확인
8. 통신 시각화 요약
🌐 외부 통신 IP
173.194.x.x (Google ASN 15169)
142.250.x.x (Google ASN 15169)
192.178.x.x
104.21.64.137 (Cloudflare ASN 13335)
49.51.73.146 (ASN 132203)
🔐 TLS SNI
www.googleapis.com
infinitedata-pa.googleapis.com
📌 분석 해석:
Google 인프라 트래픽 혼합
CDN 기반 위장 가능성
HTTPS 암호화 채널 사용
JA3 Fingerprint 5종 식별
📊 구조 요약
↓
동적 DEX 로딩
↓
HTTPS 암호화 채널
↓
Google ASN / Cloudflare 경유 IP
➡ 정상 트래픽과 혼합되어 탐지 회피 가능 구조
9. 지속성(Persistence) 분석
BOOT_COMPLETED 수신
WorkManager 재스케줄
Foreground Service 유지
SYSTEM_ALERT_WINDOW 권한
📌 기기 재부팅 후 자동 실행 가능
10. 종합 판단
본 APK는 다음 근거를 종합할 때 악성 행위 가능성이 매우 높은 애플리케이션으로 판단됩니다.
🔎 판단 근거
무작위 패키지명 구조
Self-Signed 100년 인증서
동적 DEX 다중 생성
오디오 캡처 + 연락처 접근 권한
부팅 자동 실행
Google 인프라 혼합 암호화 통신
MITRE 다중 공격 전술 매핑
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 분석 결과를 기반으로 작성되었으며,
도구 환경 및 샘플 상태에 따라 일부 행위는 추가 분석 시 변동될 수 있습니다.
본 리포트는 수사기관 또는 법원의 판단을 대체하지 않으며,
피해자 참고용 자료로 활용될 수 있습니다.
본 자료는 RELIEFPATH의 지적재산으로
무단 복제·배포 및 2차 사용을 금지합니다.