본 리포트는 악성 모바일 애플리케이션(Gallery Pro .apk)에 대한 RELIEFPATH에서의 분석 결과를 기록한 문서입니다. 분석은 바이러스토탈, 패킷 분석 툴, 수동 디컴파일 및 실행 캡처를 기반으로 이루어졌습니다. 이 문서는 피해자가 실제로 경험한 악성앱의 구조, 행위, 서버 통신 내역을 분석한 자료로 구성되었습니다.
2. 악성앱 분석 목적
피해자 단말기에서 수집된 악성앱의 내부 구조와 동작 원리 분석
악성 행위 흐름 확인 및 외부 서버와의 통신 경로 파악
리버스 엔지니어링을 통해 사용자 데이터 유출 가능성 점검
3. 분석 파일 기본 정보
4. 악성 행위 분석
주소록 및 전화번호 정보 접근
외부 저장소 접근 시도
패키지 실행 직후 cXmXXXionbX.com 도메인과 통신 시도
앱 UI는 "Gallery Pro"라는 이름으로 위장되어 있음
난독화 및 리플렉션 사용 흔적 다수 확인됨
5. 악성앱의 요구 권한 요약
6. 주소록 및 저장소 탈취 코드 패턴
7. 악성앱의 특이 사항
개발자 인증서 국가 코드 및 지명 정보가 무작위 문자열로 구성됨
SDK 34로 설정되었으나 다수의 하위 API 호출 존재
cXmXXXionbX.com 도메인을 통해 C2 통신 수행 (Cloudflare IP 대역 사용)
8. 통신 시각화 자료
📎 첨부 이미지:
통신 도메인: cXmXXXionbX.com
접속 IP: 10X.2X.6X.1X0
통신 포트: 443 (HTTPS)
패킷 캡처 로그: TCP 17X.6X.1X9.1X5:443 확인됨
9. 포함된 주요 파일 종류
classes.dex 8개 포함 (멀티덱스 구조)
ELF 실행 파일 4개 내장 (NDK 기반 실행 추정)
리소스 파일: XML 501개, PNG/WebP 185개
JSON 및 .version 설정 파일 다수 포함
10. 종합 결론
해당 앱은 정식 갤러리 앱으로 위장해 설치를 유도한 후, 사용자의 연락처 및 저장소 정보를 수집하고 외부로 전송하는 악성 기능을 포함하고 있습니다. 코드 난독화와 실행 모듈 분산 구조, CDN 기반 도메인 은폐 방식으로 분석 회피를 시도하고 있으며, 앱 실행과 동시에 외부 서버로 정보 전송을 개시합니다. 피해자는 해당 앱을 설치했을 경우 즉시 삭제 조치가 필요하며, 관련 로그 및 백업 파일 확보가 권장됩니다.
📌 법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 내부 보안 분석팀이 수집한 정보와 도구 기반 분석에 따라 작성된 것으로, 일부 정보는 분석 시점의 환경 또는 도구 한계에 따라 정확하지 않을 수 있습니다. 본 리포트는 수사기관 또는 전문가 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작된 문서입니다.
본 자료의 모든 내용은 RELIEFPATH의 지적재산이며, 무단 복제 및 배포를 금지합니다. 상업적 사용, 2차 편집, 이미지 및 코드 일부 또는 전체 사용 시에는 사전 동의가 필요합니다.
RELIEFPATH 악성앱 분석 자료 04 Gallery Pro
1. 개요
본 리포트는 악성 모바일 애플리케이션(Gallery Pro .apk)에 대한 RELIEFPATH에서의 분석 결과를 기록한 문서입니다. 분석은 바이러스토탈, 패킷 분석 툴, 수동 디컴파일 및 실행 캡처를 기반으로 이루어졌습니다. 이 문서는 피해자가 실제로 경험한 악성앱의 구조, 행위, 서버 통신 내역을 분석한 자료로 구성되었습니다.
2. 악성앱 분석 목적
피해자 단말기에서 수집된 악성앱의 내부 구조와 동작 원리 분석
악성 행위 흐름 확인 및 외부 서버와의 통신 경로 파악
리버스 엔지니어링을 통해 사용자 데이터 유출 가능성 점검
3. 분석 파일 기본 정보
4. 악성 행위 분석
주소록 및 전화번호 정보 접근
외부 저장소 접근 시도
패키지 실행 직후 cXmXXXionbX.com 도메인과 통신 시도
앱 UI는 "Gallery Pro"라는 이름으로 위장되어 있음
난독화 및 리플렉션 사용 흔적 다수 확인됨
5. 악성앱의 요구 권한 요약
6. 주소록 및 저장소 탈취 코드 패턴
7. 악성앱의 특이 사항
개발자 인증서 국가 코드 및 지명 정보가 무작위 문자열로 구성됨
SDK 34로 설정되었으나 다수의 하위 API 호출 존재
cXmXXXionbX.com 도메인을 통해 C2 통신 수행 (Cloudflare IP 대역 사용)
8. 통신 시각화 자료
📎 첨부 이미지:
통신 도메인: cXmXXXionbX.com
접속 IP: 10X.2X.6X.1X0
통신 포트: 443 (HTTPS)
패킷 캡처 로그: TCP 17X.6X.1X9.1X5:443 확인됨
9. 포함된 주요 파일 종류
classes.dex 8개 포함 (멀티덱스 구조)
ELF 실행 파일 4개 내장 (NDK 기반 실행 추정)
리소스 파일: XML 501개, PNG/WebP 185개
JSON 및 .version 설정 파일 다수 포함
10. 종합 결론
해당 앱은 정식 갤러리 앱으로 위장해 설치를 유도한 후, 사용자의 연락처 및 저장소 정보를 수집하고 외부로 전송하는 악성 기능을 포함하고 있습니다. 코드 난독화와 실행 모듈 분산 구조, CDN 기반 도메인 은폐 방식으로 분석 회피를 시도하고 있으며, 앱 실행과 동시에 외부 서버로 정보 전송을 개시합니다. 피해자는 해당 앱을 설치했을 경우 즉시 삭제 조치가 필요하며, 관련 로그 및 백업 파일 확보가 권장됩니다.
📌 법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 내부 보안 분석팀이 수집한 정보와 도구 기반 분석에 따라 작성된 것으로, 일부 정보는 분석 시점의 환경 또는 도구 한계에 따라 정확하지 않을 수 있습니다. 본 리포트는 수사기관 또는 전문가 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작된 문서입니다.
본 자료의 모든 내용은 RELIEFPATH의 지적재산이며, 무단 복제 및 배포를 금지합니다. 상업적 사용, 2차 편집, 이미지 및 코드 일부 또는 전체 사용 시에는 사전 동의가 필요합니다.