파일존.APK
1) 파일 개요
-
파일명:
해킹파일.apk -
파일 크기: 13,484,662 bytes (약 12.9 MB)
-
SHA-256:
3c712da25406080ec8bc7f40b393e5b095d8b24ed9d5a5b1d177fbc6bd54fab1 -
MD5:
c068688d214e927954d92ee497fa1225 -
구성:
classes.dex×2 (DEX 바이트코드), assets/ 및 lib/ 디렉터리 포함(성능 최적화 파일 존재) -
분석일: 2025.10.16
2) 내부 구성(요약)
-
APK는 표준 ZIP 형태로 패키징되어 있으며 DEX 파일 2개가 포함되어 있습니다.
-
assets/폴더에dexopt유사 파일이 존재하여 런타임 로딩·최적화 기법을 사용한 흔적이 보입니다. -
네이티브 라이브러리(.so) 여부는 lib/ 내부 확인 필요(이번 정적 스캔에서 일부 바이너리 잔존 확인).
-
DEX 문자열 풀에서 다수의 권한 상수와 HTTP 라이브러리 식별자(예: okhttp, retrofit)가 검출되었습니다.
3) 권한 관련 단서 (DEX 문자열 기반)
주의: 아래 권한 표기는 DEX 내부 문자열 풀에서 직접 검색된 상수들입니다. 정식 Manifest(AXML) 파싱으로 요청 여부 최종 확인 권고.
-
발견된 권한 상수(발췌):
-
android.permission.CAMERA -
android.permission.RECORD_AUDIO -
android.permission.READ_SMS,RECEIVE_SMS -
android.permission.READ_CONTACTS -
android.permission.MANAGE_EXTERNAL_STORAGE,WRITE_EXTERNAL_STORAGE -
android.permission.SYSTEM_ALERT_WINDOW -
android.permission.REQUEST_INSTALL_PACKAGES -
android.permission.INTERNET,ACCESS_FINE_LOCATION등
-
의미 및 위험도
-
CAMERA+RECORD_AUDIO: 디바이스의 영상·음성 무단 수집 가능성 — 강한 위험 -
READ/RECEIVE_SMS: 인증문자 탈취 우려 — 강한 위험 -
MANAGE_EXTERNAL_STORAGE: 갤러리/비디오 접근 및 업로드 가능 — 강한 위험 -
SYSTEM_ALERT_WINDOW/REQUEST_INSTALL_PACKAGES: 오버레이·추가 악성 설치 유도 가능 — 중대한 위험
4) 코드·동작 정적 단서
-
라이브러리 흔적:
okhttp,retrofit(HTTP/REST 통신용), 일부 암호화·난독화 함수명 유사 문자열 존재 -
난독화 여부: 문자열 일부 암호화/난독화 기법 흔적 존재(정적 분석 난이도 상승)
-
동작 단서:
-
앱 실행 시 권한요청 루틴/권한 승인 후 백그라운드 서비스 실행 가능성 암시
-
파일·디렉터리 스캔 코드 흔적(갤러리·비디오 검색)
-
원격 엔드포인트로 장치 식별자(예: UUID, IMSI, Android ID) 전송하는 코드 패턴 발견
-
오버레이 및 설치 유도 관련 API 호출(문자열 단서) 다수 발견
-
5) 네트워크 관련 정황
-
탐지된 의심 URL/도메인(샘플):
-
https://yubtrqvz12254.online/prod-api/(DEX 문자열에서 검출) -
일부 개발용/테스트 URL(예:
http://localhost/)도 내부에 포함
-
-
통신 특징(정적 근거):
-
HTTP(S) 통신용 클라이언트 라이브러리 사용 정황 → 원격 서버와의 데이터 송수신 가능성 높음
-
전송 패킷 암호화/인코딩(예: Base64) 사용 가능성 존재(문자열 단서 기반 추정)
-
6) 종합 리스크 평가
| 항목 | 평가 |
|---|---|
| 민감 권한 포함 여부 | ✅ 높음 |
| 외부 서버 전송 가능성 | ✅ 높음 |
| 영상/음성 무단 수집 위험 | 🔴 매우 높음 |
| SMS/인증코드 탈취 위험 | 🔴 매우 높음 |
| 오버레이·설치 유도 등 추가 전개 가능성 | ⚠️ 있음 |
| 종합 판정 | High Risk — 잠재적 몸캠피싱·사생활 침해 악성 앱 |
정적 근거(권한 조합 + 통신 라이브러리 + URL 문자열)가 모두 결합되어 있어, 악성 활용 시나리오(영상·음성 캡처 → 업로드 → 협박/유포 등)를 현실적으로 수행할 수 있는 구조로 판단됩니다.
7) 권고 대응 (긴급)
즉시 조치 (사용자/관리자 권한)
-
해당 APK를 절대 설치하지 마십시오. 이미 설치한 디바이스는 즉시 앱 삭제 및 재부팅 권장.
-
설치 기기가 있다면 네트워크 격리(오프라인 전환) 후 포렌식 이미지 확보를 권장.
-
주요 계정(이메일·SNS·금융)의 비밀번호 전면 변경 및 2단계 인증 활성화 권장.
추가 기술 조치 (권장)
-
Manifest(AXML) 정식 파싱으로 실제 요청 권한 확정 → 보안 알림/탐지 룰 생성.
-
동적 분석(샌드박스): 격리 환경에서 앱 실행하여 카메라·마이크 호출, 파일 엑세스, 네트워크 페이로드 캡처.
-
트래픽 캡처(PCAP) 및 분석: C2 도메인, 전송 페이로드(POST body) 파악 → 차단 및 신고.
-
IoC(해시/도메인) 즉시 내부 보안 솔루션(방화벽, EDR, 게이트웨이)에 등록.
8) IoC (Indicators of Compromise)
-
SHA-256:
3c712da25406080ec8bc7f40b393e5b095d8b24ed9d5a5b1d177fbc6bd54fab1 -
MD5:
c068688d214e927954d92ee497fa1225 -
파일 크기: 13,484,662 bytes
-
의심 URL:
https://yubtrqvz12254.online/prod-api/ -
탐지 문자열:
okhttp,retrofit,CAMERA,RECORD_AUDIO,READ_SMS,MANAGE_EXTERNAL_STORAGE,SYSTEM_ALERT_WINDOW,REQUEST_INSTALL_PACKAGES
위 해시·도메인 정보는 조직 내외의 보안체계에 즉시 배포·차단하시길 권고합니다.
9) 분석 방법(투명성)
-
APK를 ZIP으로 열어 내부 파일 트리 확인.
-
DEX 문자열 풀(정규식 기반) 스캔으로 권한·라이브러리·URL 패턴 추출.
-
네이티브/라이브러리 흔적 확인(문자열/파일명 검색).
-
Manifest(AXML) 바이너리 포맷 일부 조사(문자열 기반); 정식 디코딩은 별도 AXML 디코더 권장.
-
한계: 정적 분석 결과만으로는 동적 행위(실제 네트워크 호출/암호화된 페이로드/런타임 복호화 등)를 완전히 확정할 수 없음. 동적 샌드박스 분석 권고.
10) 결론 및 권장 서비스
본 APK는 민감권한 조합과 네트워크 통신 흔적으로 미뤄볼 때 몸캠피싱·사생활 침해 목적으로 악용될 가능성이 매우 높습니다. 즉시 차단·삭제 및 동적 분석을 통해 C2 도메인 및 전송 페이로드를 식별해야 합니다.