RELIEFPATH 악성앱 분석 자료 01
1. 개요
본 리포트는 악성 모바일 애플리케이션(PPAU2025.apk)에 대한 RELIEFPATH에서의 분석 결과를 기록한 문서입니다. 분석은 바이러스토탈, 패킷 분석 툴, 수동 디컴파일 및 실행 캡처를 기반으로 이루어졌습니다.
이 문서는 피해자가 실제로 경험한 악성앱의 구조, 행위, 서버 통신 내역을 분석한 자료로 구성되었습니다.
2. 악성앱 분석 목적
고의로 위장된 정상 UI를 통해 권한을 획득하고 백그라운드에서 정보를 탈취하는 악성앱 분석
피해자가 이 앱에 속아 어떤 위험에 노출되었는지 입증할 수 있는 분석 자료 제공
유포된 유사 앱들과의 관계, C&C 서버와의 통신 패턴 확인
3. 분석 파일 기본 정보
4. 악성 행위 분석
CAMERA, READ_CONTACTS, READ_EXTERNAL_STORAGE 권한을 통해 민감한 데이터 접근
ELF 실행파일 포함 → 리눅스 시스템에 대한 루트 시도 또는 명령 실행 가능성
Query All Packages → 설치된 앱 목록 전체 수집
googleusercontent.com, gstatic.com 등 정식 도메인으로 위장한 통신
프록시를 통한 통신 은닉 가능성
SSL 통신 사용 및 JA3 패턴 존재
5. 악성앱의 주요 요구 권한 요약
6. 주소록 및 저장소 탈 코드 패턴 ( 예시 )
7. 악성앱의 특이 사항
assets/libjiagu_x86_64.so 등 ELF 실행파일 포함
Kotlin 기반 구성 + Google AD ID 권한 요청 → 광고 데이터 추적 기능
Manifest 내 Receiver 등록 및 ProfileInstaller 연동으로 앱 실행 최적화 위장
8. 통신 시각화 자료
📎 첨부 이미지:
정식 Google 도메인과 유사한 도메인으로 위장 (lh3.googleusercontent.com, encrypted-tbn0.gstatic.com)
미국 내 특정 AS 번호(15169, Google) 기반 IP들과 SSL 통신 수행
JA3 해시 존재: 33490b1d5377580b19f7f9b5849d7991, 9b02ebd3a43b62d825e1ac605b621dc8 등
통신된 IP 수: 7개 이상, 도메인 3개 이상
9. 실제 실행 화면 캡처
📎 예정 이미지:
[PPAU2025 악성앱 실행 UI 또는 로그인 화면 캡처 삽입 예정]
해당 이미지들은 실제 피해자가 앱 설치 시 확인했던 UI로, 피해 상황의 신빙성을 뒷받침합니다.
10. 종합 결론
이 앱은 단순 파일 뷰어나 서비스 앱처럼 위장하고 있으나, 내부적으로는
저장소 내 파일 접근 및 탈취,
주소록 열람,
카메라 접근 및 실행,
설치 앱 목록 전체 수집을 수행합니다.
또한 .so 실행파일을 통해 루팅/커널 레벨 행위를 시도하거나, 정식 Google 도메인과 유사한 도메인들과 통신을 수행하여 탐지를 회피합니다.
ReliefPath는 이처럼 실제 감염된 파일 기반으로, 구조적·행위적·네트워크 기반 리포트를 생성함으로써 피해자 보호와 입증자료 제공을 지원합니다.
📌 법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 내부에서 수집한 정보와 도구 기반 분석에 따라 작성된 것으로, 일부 정보는 분석 시점의 환경 또는 도구 한계에 따라 정확하지 않을 수 있습니다. 본 리포트는 수사기관 또는 전문가 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작된 문서입니다.
본 자료의 모든 내용은 RELIEFPATH의 지적재산이며, 무단 복제 및 배포를 금지합니다. 상업적 사용, 2차 편집, 이미지 및 코드 일부 또는 전체 사용 시에는 사전 동의가 필요합니다.
RELIEFPATH 악성앱 분석 자료 01
1. 개요
본 리포트는 악성 모바일 애플리케이션(PPAU2025.apk)에 대한 RELIEFPATH에서의 분석 결과를 기록한 문서입니다. 분석은 바이러스토탈, 패킷 분석 툴, 수동 디컴파일 및 실행 캡처를 기반으로 이루어졌습니다.
이 문서는 피해자가 실제로 경험한 악성앱의 구조, 행위, 서버 통신 내역을 분석한 자료로 구성되었습니다.
2. 악성앱 분석 목적
고의로 위장된 정상 UI를 통해 권한을 획득하고 백그라운드에서 정보를 탈취하는 악성앱 분석
피해자가 이 앱에 속아 어떤 위험에 노출되었는지 입증할 수 있는 분석 자료 제공
유포된 유사 앱들과의 관계, C&C 서버와의 통신 패턴 확인
3. 분석 파일 기본 정보
4. 악성 행위 분석
CAMERA, READ_CONTACTS, READ_EXTERNAL_STORAGE 권한을 통해 민감한 데이터 접근
ELF 실행파일 포함 → 리눅스 시스템에 대한 루트 시도 또는 명령 실행 가능성
Query All Packages → 설치된 앱 목록 전체 수집
googleusercontent.com, gstatic.com 등 정식 도메인으로 위장한 통신
프록시를 통한 통신 은닉 가능성
SSL 통신 사용 및 JA3 패턴 존재
5. 악성앱의 주요 요구 권한 요약
6. 주소록 및 저장소 탈 코드 패턴 ( 예시 )
7. 악성앱의 특이 사항
assets/libjiagu_x86_64.so 등 ELF 실행파일 포함
Kotlin 기반 구성 + Google AD ID 권한 요청 → 광고 데이터 추적 기능
Manifest 내 Receiver 등록 및 ProfileInstaller 연동으로 앱 실행 최적화 위장
8. 통신 시각화 자료
📎 첨부 이미지:
정식 Google 도메인과 유사한 도메인으로 위장 (lh3.googleusercontent.com, encrypted-tbn0.gstatic.com)
미국 내 특정 AS 번호(15169, Google) 기반 IP들과 SSL 통신 수행
JA3 해시 존재: 33490b1d5377580b19f7f9b5849d7991, 9b02ebd3a43b62d825e1ac605b621dc8 등
통신된 IP 수: 7개 이상, 도메인 3개 이상
9. 실제 실행 화면 캡처
📎 예정 이미지: [PPAU2025 악성앱 실행 UI 또는 로그인 화면 캡처 삽입 예정]
해당 이미지들은 실제 피해자가 앱 설치 시 확인했던 UI로, 피해 상황의 신빙성을 뒷받침합니다.
10. 종합 결론
이 앱은 단순 파일 뷰어나 서비스 앱처럼 위장하고 있으나, 내부적으로는
저장소 내 파일 접근 및 탈취,
주소록 열람,
카메라 접근 및 실행,
설치 앱 목록 전체 수집을 수행합니다.
또한 .so 실행파일을 통해 루팅/커널 레벨 행위를 시도하거나, 정식 Google 도메인과 유사한 도메인들과 통신을 수행하여 탐지를 회피합니다.
ReliefPath는 이처럼 실제 감염된 파일 기반으로, 구조적·행위적·네트워크 기반 리포트를 생성함으로써 피해자 보호와 입증자료 제공을 지원합니다.
📌 법적 고지 및 저작권 안내
본 자료는 RELIEFPATH 내부에서 수집한 정보와 도구 기반 분석에 따라 작성된 것으로, 일부 정보는 분석 시점의 환경 또는 도구 한계에 따라 정확하지 않을 수 있습니다. 본 리포트는 수사기관 또는 전문가 판단을 대체하지 않으며, 피해자가 참고용으로 활용할 수 있도록 제작된 문서입니다.
본 자료의 모든 내용은 RELIEFPATH의 지적재산이며, 무단 복제 및 배포를 금지합니다. 상업적 사용, 2차 편집, 이미지 및 코드 일부 또는 전체 사용 시에는 사전 동의가 필요합니다.