LOVENSE19.APK
아린랩스 분석 리포트 (APK)
1) 파일 개요
-
파일명:
upload_7ee00d1a722e3394ae5e16ebbd2c0839.apk -
크기: 13,095,297 bytes (약 12.5MB)
-
SHA-256:
b92d068ba5a12ff907daa8ab4e15b74e3788e216bfd88f14ce840651eedaa76d -
MD5:
c000f5aa4a159f0f6de0759011c6dd77 -
구성:
classes.dex2개, 네이티브 라이브러리 4종(arm64/armeabi-v7a/x86/x86_64),AndroidManifest.xml(바이너리 AXML)
APK 서명은 최신 V2/V3 방식으로 보이며(서명 블록 내부), META-INF에 구형 .RSA/.SF가 노출되지 않는 형태입니다.
2) 내부 구성(요약)
-
DEX 파일:
classes.dex,classes2.dex -
네이티브 라이브러리:
libmmkv.so(4아키텍처) — 텐센트 MMKV(고성능 Key-Value 저장소)로 보임 -
주요 서드파티 흔적(문자열 검색):
-
okhttp / retrofit → HTTP 클라이언트/REST 통신 사용 정황
-
androidx 전반(앱 현대화 라이브러리)
-
-
Manifest: 바이너리 포맷(AXML). 환경상 AXML 파싱은 제한적이었으나, DEX 문자열에서 여러 고위험 권한 상수가 확인됨(아래 3) 참조).
3) 권한 관련 단서(DEX 문자열 기반)
주의: 아래 권한들은 DEX 문자열 풀에서 직접 발견된 상수로, 실제로 Manifest에서 “요청”되었을 개연성이 높습니다. (다만 바이너리 Manifest를 완전 디코딩하지 못했기 때문에, 요청 여부 확정에는 추가 AXML 파싱이 필요합니다.)
확인된 상수(발췌):
-
개인정보/센서:
CAMERA,RECORD_AUDIO,READ_SMS,RECEIVE_SMS,READ_CONTACTS,READ_PHONE_STATE,BODY_SENSORS -
저장/설치/오버레이:
MANAGE_EXTERNAL_STORAGE,WRITE_EXTERNAL_STORAGE,REQUEST_INSTALL_PACKAGES,SYSTEM_ALERT_WINDOW,WRITE_SETTINGS -
위치/통신:
ACCESS_FINE_LOCATION,ACCESS_COARSE_LOCATION,BLUETOOTH_CONNECT/SCAN/ADVERTISE,INTERNET등
위험 포인트
-
CAMERA+RECORD_AUDIO조합: 영상/음성의 무단 캡처 위험 -
READ/RECEIVE/SEND_SMS: 인증코드·문자 탈취/발송 위험 -
MANAGE_EXTERNAL_STORAGE: 광범위 파일 접근 → 갤러리/동영상 접근 가능성 -
SYSTEM_ALERT_WINDOW: 오버레이로 사용자 기만 UI 가능 -
REQUEST_INSTALL_PACKAGES: 2차 APK 설치 유도 가능
4) 네트워크/행위 단서
-
DEX 내 okhttp/retrofit 문자열이 존재 → HTTP(S) 통신 기반 원격 API 연동 정황
-
URL 풀 스캔 결과, 개발용/스키마 문자열이 주로 탐지되어 명시적 C2 도메인 노출은 제한적
(추가 난독화/동적 생성/암호화 가능성 배제 불가) -
Firebase/Socket.IO 직접 문자열은 뚜렷하지 않지만, 실시간 통신/푸시 연동 가능성은 구조상 열려 있음
5) 종합 리스크 평가
| 항목 | 평가 |
|---|---|
| 카메라/마이크 등 민감 권한 사용 가능성 | 높음 |
| SMS/연락처 등 개인정보 접근 가능성 | 높음 |
| 외부 서버 통신(데이터 전송) 가능성 | 중간~높음 |
| 2차 설치·오버레이 등 악성 전개 가능성 | 중간 |
| 전반적 판정 | High Risk (잠재적 몸캠피싱 악용 소지) |
DEX 문자열에 몸캠피싱과 직결되는 권한 조합(CAMERA/RECORD_AUDIO/SMS/Storage/Overlay) 이 포함되어 있어, 악성 활용 시나리오(영상·음성 캡처→협박/유포)와 행위 요건을 충족할 소지가 큽니다.
6) 권고 대응
-
즉시 조치
-
출처 불명 APK는 설치/실행 금지, 이미 설치했다면 삭제 후 기기 재부팅
-
비밀번호 전면 변경(이메일·SNS·클라우드·메신저)
-
구글 Play Protect 활성화
-
포렌식/추가 분석(권장)
-
AXML 정식 디코딩으로 Manifest 권한 요청 확정
-
동적 분석(샌드박스)로 실제 네트워크 목적지·전송 데이터 확인
-
트래픽 캡처로 C2 도메인/IP·경로 추출 → 차단(블랙리스트) 반영
-
조직/개인 보호
-
ThreatGuard AI(탐지·차단) 및 InsightNet(위협 인텔리전스)로 유포 경로·지표 모니터링
-
유출 의심 시 SafeMorph로 민감 영상 식별 불가 변환 적용
7) IoC(Indicators of Compromise)
-
SHA-256:
b92d068ba5a12ff907daa8ab4e15b74e3788e216bfd88f14ce840651eedaa76d -
MD5:
c000f5aa4a159f0f6de0759011c6dd77 -
파일 크기: 13,095,297 bytes
-
내부 라이브러리:
libmmkv.so(4 arch),okhttp,retrofit문자열 존재 -
구성 파일:
classes.dex×2,AndroidManifest.xml(AXML)
위 해시를 보안 제품/게이트웨이 블록리스트에 즉시 등록하시길 권고합니다.
8) 분석 방법(투명성)
-
ZIP 레벨로 APK 내부 파일 구조 점검
-
DEX 문자열 정규식 스캔(권한 상수/라이브러리 식별)
-
네이티브 라이브러리 및 공통 클라이언트(OkHttp/Retrofit) 흔적 확인
-
AXML(Manifest) 바이너리 포맷은 환경 제한으로 정식 파싱 없이 진행 → 권한은 DEX 문자열 근거로 표기
결론
본 APK는 카메라·마이크·SMS·저장소·오버레이 등 고위험 권한 문자열을 광범위히 포함하고,
HTTP 클라이언트 라이브러리 사용 정황이 확인되어, 몸캠피싱 목적의 악성 행위에 악용될 가능성이 높습니다.
즉시 차단·삭제를 권고하며, 필요 시 아린랩스가 정식 동적 분석·C2 추적·유포 차단 절차를 지원합니다.