신규 유형 청첩장 악성 앱 분석

Post image

최근에 발견된 “청첩장” 테마 악성 앱은 초대장·안내장 등 친숙한 UI로 위장해 사용자 신뢰를 확보한 뒤 대규모로 유포된 것이 특징이다.

이 앱은 MQTT 프로토콜 명령을 통해 연락처·SMS·미디어 등 개인정보를 은밀히 탈취하며, 소스 코드에는 향후 (미구현) 지정 번호로 자동 발신이 가능한 보이스피싱 기능이 숨어 있다.

5월 16일 기준 177건의 유포가 확인된 이 앱은 단순 정보 탈취를 넘어 금전적·심리적 피해로 확산될 잠재력이 매우 높다.

1. 청첩장 악성 앱 기본 정보

  • 패키지명 : com.ekolami.lstripeblight.fselfinduced
  • 앱 이름 : power
  • Min SDK Version : 26
  • Target SDK Version : 32
  • 아이콘 이미지 :

image.png

2. 개요

  • 유포 기간 및 규모
    • 2025년 3월 7일부터 5월 16일까지 자체 수집 채널에서 총 177건 확인
  • 유포 수단 및 특징
    • 청첩장 테마 UI(초대장·안내장 등)로 위장해 사용자 신뢰 확보
  • 분석 대상 앱 특징
    • 이전 부고장 테마 악성앱의 구조를 계승하되, 코드 일부를 개편·확장
  • 주요 악성 기능
    • MQTT 프로토콜 명령 기반 개인정보(연락처, SMS, 기기정보 등) 탈취
  • 보이스피싱 기능
    • 현재는 미구현 상태이나, 소스 코드 내에 ‘지정 전화번호 자동 발신’ 로직 포함
    • 향후 해당 기능이 활성화될 경우 ‘실시간 대량 보이스피싱’ 공격으로 진화할 위험
  • 위협 전망
    • 최근 유포되는 악성 앱 중 가장 광범위한 유포량을 기록하며 2025년 내 최고 위협군으로 부상할 가능성
    • 보이스피싱 기능 구현 시, 단순 정보 탈취를 넘어 금전적·심리적 피해를 대규모로 유발할 가능성 높음

3. 악성 앱 분석

3.1 앱 실행 및 초기 작동 흐름

image.png

  1. 권한 요청 및 절전 모드 예외 등록
    • 애플리케이션 최초 실행 시, 연락처(Contacts), SMS, 미디어 파일 접근 권한을 순차적으로 요청
    • 추가로 “배터리 절전 모드 예외 앱” 설정 화면을 띄워, 백그라운드 상시 실행을 보장하기 위해 사용자 승인 유도
  2. 페이크 사이트 점검 화면 표시
    • 모든 권한 및 예외 설정이 완료되면 즉시 실제 악성 행위를 숨기기 위해 ‘사이트 점검 중’ 페이크 화면을 렌더링
    • 사용자는 잠시 후 정상 서비스로 안내될 것이라 믿고 앱을 종료하거나 아이콘을 주시하지 않게 됨
  3. 앱 아이콘 은닉
    • 페이크 화면 표시와 동시에 런처(홈 화면) 상의 앱 아이콘을 은닉
    • 사용자가 기기 목록에서 앱을 찾기 어렵게 만들어, 잠복·지속적 악성행위를 위한 기반 마련
3.2. 악성 앱 권한

분석 대상 앱은 다양한 권한을 요청한다. 그중 위험 권한인 READ_CONTACTS, READ_EXTERNAL_STORAGE, READ_SMS, SEND_SMS를 통해 핵심 악성 행위를 수행하는 것을 확인할 수 있다.

이들 권한은 연락처·미디어·SMS 정보를 탈취하고, C2(Command-and-Control) 명령에 따라 SMS를 자동 발송하는 악성 행위를 가능하게 한다.

image.png

3.3. Dynamic dex loading

아래 후킹 로그는 청첩장.apk에 포함된 암호화된 파일 “74434885946D1148142A738B028BBF54”가 /data/user/0/com.ekolami.lstripeblight.fselfinduced/com.ekolami.lstripeblight.fselfinduced-hd-zo6LjCtzNbXorMo3VTg==/ 경로에 base.apk로 복호화된 후, 해당 base.apk 내부의 악성 classes.dex를 메모리에 동적으로 로드·실행하는 과정을 보여준다.

“Dynamic dex loading”은 런타임에 APK 내부의 assets 폴더 또는 앱 내부 파일 디렉터리에서 DEX 파일을 꺼내는데, 이 파일은 대부분 암호화되어 있어 별도 복호화 과정을 거치지만, 암호화되지 않은 경우도 있다. 이렇게 준비된 DEX 파일을 특정 폴더에 복사한 뒤 로드하여 메모리에 적재·실행함으로써, 앱 구동 전에는 해당 코드가 APK 패키지 안에 전혀 노출되지 않아 정적 분석만으로는 전체 로직을 파악하기 어려운 기법이다.

image.png

분석 대상 apk에 포함된 암호화된 “74434885946D1148142A738B028BBF54” 파일이 base.apk로 정상 복호화되었으며, 원본 파일과 복호화된 base.apk의 파일 크기가 동일함을 확인하였다.

image.png

3.4. MQTT 프로토콜 이용한 개인정보 유출

아래는 분석 대상 앱의 악성 행위 관련 Java 코드로, MQTT 프로토콜을 통해 수신된 C2 명령값(instruct)에 따라 각기 다른 악성 행위 수행용 메서드를 호출하는 로직을 보여준다.

image.png

아래 표는 MQTT 명령 코드별 악성 행위를 요약한 것이다. 기존 부고장 테마 앱에는 없던 명령 코드(31: 서버에서 전달받은 지정된 번호로 전화 발신)가 새롭게 추가된 점이 가장 큰 특징이다.

현재 해당 기능은 구현이 완료되지 않아 실제 작동하지 않지만, 분석 대상 앱은 2025년 들어 가장 활발히 유포되고 있으므로 향후 기능이 활성화될 경우 대규모 보이스 피싱 공격으로 진화할 잠재력을 내포하고 있다.

image.png

아래는 분석 대상 앱의 서버에서 전달받은 지정된 전화번호로 전화 발신하는 자바 코드이다.

현재는 AndroidManifest.xml에 전화 발신 관련 권한이 존재하지 않아 실제로 동작하지 않는 것을 확인했다.

image.png

2025년 5월 23일 기준 C2 서버가 전송하는 MQTT 명령은 아래 내용과 같으며, 후킹 로그를 통해 다음과 같이 확인되었다.

  • instruct:1 – 연락처 유출
  • instruct:3 – SMS 메시지 유출
  • instruct:5 – 미디어 파일 유출
  • instruct:41 – 벨소리 음량 확인
  • instruct:44 – 계정 정보 유출
  • instruct:99 – MQTT Ping 응답

해당 명령이 수신되면 앱은 사용자의 연락처·SMS 메시지·미디어 파일·사용자 계정 등의 민감 정보를 C2 서버로 전송하거나, 벨소리 음량 등 기기 설정을 조회하는 동작을 수행한다.

image.png

3.5. API 별 개인정보 유출

아래 표에서는 악성 앱이 호출하는 주요 API 엔드포인트를 용도별로 정리하고, 각 경로를 통해 어떤 개인정보가 유출되는지 한눈에 파악할 수 있도록 구성하였다.

image.png

4. 패킷 분석

패킷 분석 결과, C2 서버가 전송하는 MQTT 명령을 통해 연락처, SMS 메시지, 이미지 파일, 계정 정보 등 민감한 개인정보가 외부로 유출되고 있음을 확인했다.

2025년 5월 23일 기준 해당 C2 서버는 여전히 가동 중이며, 유사한 악성 코드도 활발히 유포되고 있으니 절대로 설치하거나 실행하지 말아야 한다.

image.png

5. 유사 악성 앱

악성 앱 연관성 분석 결과 비슷한 유형으로 개인정보를 유출하는 추가 사례 앱을 확인했다. 유사 악성 앱 정보는 아래 정보와 같다.

image.png

6. 결론

본 분석을 통해 확인된 “청첩장” 테마 악성 앱은 다음과 같은 이유로 2025년 주요 보안 위협으로 자리매김할 가능성이 매우 높다.

  1. 광범위한 유포 및 은폐 전략
    • 2025년 3월 7일~5월 16일 동안 자체 수집 채널에서 177건이 확인된 유포량
    • 청첩장 UI 위장, 페이크 “사이트 점검” 화면, 홈화면 아이콘 은닉을 결합해 사용자의 의심을 최소화
  2. 보이스피싱 기능 잠재 위협
    • 현재 구현되지 않았으나 “명령 코드 31”로 서버에서 전달받은 지정 전화번호로 자동 발신 로직이 발견되어, 향후 대규모 보이스피싱 공격으로 진화할 소지가 있다.
  3. 대응 권고사항
    1. 공식 앱 마켓 이용하기
      • 구글 플레이스토어·원스토어 등 검증된 공식 채널에서만 앱을 설치
      • “청첩장”, “초대장” 등 친숙한 이름의 APK 파일을 인터넷에서 직접 다운로드하는 것을 금지
    2. 알 수 없는 출처” 차단 설정
      • Android 설정 ▶ 보안 ▶ “알 수 없는 출처에서 설치 허용”을 비활성화 상태로 유지
      • 필요 시에도 일시적으로만 켜고, 사용 후에는 반드시 다시 꺼두기
    3. 권한 요청 꼼꼼히 확인하기
      • 앱 설치·실행 시 “연락처”, “SMS”, “저장소” 등을 과도하게 요구하면 즉시 의심
      • 불필요한 민감 권한은 거부 버튼을 선택하거나, 앱 설정 ▶ 권한 관리 메뉴에서 해제
    4. 모바일 백신·보안 앱 활용
      • 신뢰할 수 있는 모바일 백신 앱을 설치해 실시간 스캔을 활성화
    5. 의심스러운 행동 즉시 대응
      • 평소에 사용하던 앱 아이콘이 사라지거나, 갑자기 과도한 권한 요청·백그라운드 통신이 발생하면 앱을 삭제
      • 알 수 없는 번호로 자동 발신 시도, 이상 SMS 전송 등 이상 징후가 보이면 통신사에 즉시 신고
    6. 보이스피싱·스미싱 주의
      • 청첩장 메시지를 사칭한 링크 클릭 또는 파일 다운로드를 절대 금지
      • 의심스러운 전화나 문자는 금융 거래·인증번호를 요구하지 않는지 반드시 확인하고, 공식 콜센터로 재확인 권고
Jiwon

Written By

Jiwon

악성코드를 분석하고 복잡한 문제를 해결할 때만큼은 누구보다 집중력과 열정이 넘쳐납니다. 다양한 악성코드를 분석하여 위협 요소를 신속하게 파악하고 효과적인 대응 방안을 마련하는 업무를 담당하고 있습니다.

You May Also Like

압축 패스워드 트릭 분석

압축 패스워드 트릭 분석

이상한 APK 파일의 등장

여느 때와 같이 수집한 APK 파일의 내부를 살펴보기 위해 압축해제를 시도했습니다. 그런데, 패스워드 입력을 요구하는 메시지가 나타났습니다.

신규 유형 WEX 앱 분석

신규 유형 WEX 앱 분석

최근 신규 유형의 악성 앱 WEX가 발견되고 있습니다. 이 악성 앱은 사용자에게 접근성 서비스를 허용하도록 유도합니다. 접근성 서비스가 허용되면 기기정보, 설치된 앱 정보 등을 지속적으로 외부로 유출합니다. 또한, 특정 조건에 따라 SMS 권한이나 전화 권한이 자동으로 허용되어, 사용자가 모르는 사이에 SMS 내용, USSD 코드 실행 결과 등의 정보도 외부 유출지 서버로 전송합니다. 본 포스팅에서는 WEX 악성 앱의 주요 악성 행위와 특징을 분석해보도록 하겠습니다.