무료 상담
a
M

안드로이드 몸캠 피싱 악성코드 분석 보고서: 혼자만봐.apk / Mfile

안드로이드 몸캠 피싱 악성코드 분석 보고서

(혼자만봐.apk / Mfile)

몸캠피싱 악성코드는 피해자에게 외부 APK 파일 설치를 유도한 뒤 연락처, SMS, 사진, 영상 등 민감 정보를 탈취하는 방식으로 악용될 수 있습니다. 본 보고서는 혼자만봐.apk 및 Mfile 계열 안드로이드 악성앱의 권한 구조, 코드 난독화, C2 서버 통신, 정보 유출 가능성을 중심으로 분석한 보안 리포트입니다.

목차

Ⅰ. 악성코드 개요

  1. 파일 정보
  2. 분석 환경 및 도구
  3. 타 백신 탐지 현황

Ⅱ. 악성 앱 구조 및 행위 분석

  1. 리소스 및 권한 분석
  2. [증적 1] 악성 앱 민감 권한 자동 분석 결과
  3. [증적 2] 파일 관리자로 위장한 악성 앱 아이콘
  4. 코드 분석 및 행위 기반 분석
  5. [증적 3] Jadx-gui 소스 코드 분석, XOR 난독화

Ⅲ. 네트워크 및 C2 서버 분석

  1. 데이터 유출 행위 분석
  2. [증적 4] C2 서버 데이터 전송 흐름도
  3. 악성 모듈 추가 다운로드 위험

Ⅳ. 피해 예상 및 대처

  1. 예상되는 피해 상황
  2. 피해 발생 시 초동 확인 가이드

Ⅴ. 결론 및 대응 방안

  1. 종합 결론
  2. 스마트폰 보안 수칙 10계명

Ⅰ. 악성코드 개요

1. 파일정보

구분 내용
파일명 혼자만봐.apk (유포 압축파일명: 내영상av.rar) / Mfile.apk
MD5 3BD9CAAC7AE8EB77CB1910EAD489724A (혼자만봐)
악성코드 명 SextortionSpy / SMSStealer (몸캠 피싱 및 정보 탈취 계열)
위험성
탈취정보 기기 내 저장된 주소록(연락처 전체), SMS 송수신 내역, 스마트폰 내부 미디어 파일(사진/영상/오디오), 사용자 전화번호
유출지 공격자가 구축한 명령제어(C&C) 서버 주소

본 악성코드는 실제 몸캠 피싱 범죄 사기단이 주로 사용하는 ‘혼자만봐.apk’ 및 ‘Mfile’ 계열의 악성 앱이다. 피해자에게 랜덤 채팅이나 메신저를 통해 음란 화상 채팅을 유도한 뒤, “소리가 안 들리니 압축을 풀고 이 링크에서 전용 앱을 설치하라”며 내영상av.rar 같은 압축 파일 형태로 APK를 전달하여 유포한다.

앱이 설치되면 백그라운드에서 피해자가 인지하지 못하는 사이에 스마트폰에 저장된 모든 연락처와 SMS 내역을 탈취해 공격자의 C&C 서버로 무단 전송한다. 이후 녹화된 음란 영상과 탈취한 주소록을 대조하여 “당신의 가족과 지인들에게 영상을 유포하겠다”며 거액을 요구하는 2차 협박으로 이어진다.

Ⅱ. 악성 앱 구조 및 행위 분석

1. 리소스 및 권한 분석

보안 플랫폼과 AndroidManifest.xml 분석을 통해 추출한 실제 권한 요구 사항은 아래 증적과 같다.

몸캠피싱 악성앱 혼자만봐 apk의 안드로이드 권한 취약점 및 민감 권한 자동 분석 결과 화면

[증적 1] 악성 앱 민감 권한 자동 분석 결과 (보안 플랫폼 플랫폼 화면)

(안드로이드 권한 분석 화면: READ_CONTACTS, READ_SMS, READ_PHONE_STATE, WRITE_EXTERNAL_STORAGE 등 민감 권한들이 붉은색 경고 기호와 함께 나열된 이미지)

앱을 실행하면 “정상적인 화상 채팅을 위해 기기 권한이 필요하다”는 알림창을 띄우며 사용자가 모든 권한을 허용하도록 유도한다. 여기서 권한을 허용하는 순간 연락처 데이터베이스(contacts.db) 접근 권한이 활성화되어 실시간으로 데이터를 긁어모으기 시작한다.

일반 미디어 플레이어로 위장하여 스마트폰에 설치된 몸캠피싱 악성코드 혼자만봐 apk 아이콘 화면

[증적 2] 일반 파일 관리자 및 재생기로 위장한 악성 앱 아이콘

(스마트폰 화면에 설치된 ‘혼자만봐’ 혹은 ‘Mfile’이라는 직관적이거나 파일 탐색기 형태로 위장한 아이콘 이미지)

위는 해당 악성 앱이 실행될 때의 아이콘 위장 형태이다. 사용자가 속기 쉽도록 일반적인 미디어 플레이어나 파일 관리자로 위장하고 있으며, 사용자가 앱을 종료하더라도 백그라운드 서비스(Background Service) 프로세스를 강제로 상주시continuous하게 작동하면서 사진, 동영상 등 스마트폰 내부 미디어 파일까지 지속적으로 탈취한다.

Jadx-gui 도구로 디컴파일된 몸캠피싱 악성코드의 m3a 문자열 복원 및 XOR 비트 연산 소스 코드

[증적 3] Jadx-gui로 분석한 암호화 문자열 복원 메서드 (XOR 16 연산)

(Jadx-gui 디컴파일 소스 코드 화면: m3a 메서드에서 문자열을 숨기기 위해 XOR 0x10 혹은 0x31 등의 비트 연산을 수행하는 Java 코드 이미지)

감염된 안드로이드 스마트폰에서 C2 명령제어 서버로 주소록 연락처 파일이 무단 유출되는 데이터 흐름도

[증적 4] 탈취된 연락처 데이터베이스(contacts.db)의 C2 서버 전송 과정

(네트워크 흐름도: 감염된 스마트폰에서 암호화된 연락처 데이터가 HTTP POST 방식을 통해 C2 서버로 누출되는 패킷 분석 다이어그램)

2. 코드 분석 및 행위 기반 분석

앞서 언급한 [증적 3] 소스코드를 참조하면, 이 악성 앱은 정적 분석을 우회하기 위해 핵심적인 문자열(C2 서버 주소, 탈취 대상 파일 경로 등)을 하드코딩하지 않고 암호화하여 저장하고 있다. restore_string (가칭 m3a) 메서드가 호출될 때 문자열 배열을 순회하며 0x10(10진수 16)과 XOR 비트 연산을 수행해 동적으로 평문을 복원한다.

또한, 내부적으로 Frida 유무나 Emulator 환경(디버거 징후)을 감지하는 방어 코드가 포함되어 있어, 분석 환경이 탐지될 경우 악성 행위를 중단하고 정상 앱처럼 작동하는 정밀함을 보인다.

Ⅲ. 네트워크 및 C2 서버 분석

1. 데이터 유출 행위 분석

사용자가 악성 앱에 속아 권한을 부여하고 ‘방 입장’ 또는 ‘초대 코드 입력’ 등의 특정 트리거 행위를 수행하면, 백그라운드에 상주하는 악성 서비스가 작동하기 시작한다.

[증적 4]의 네트워크 흐름도와 같이, 앱은 로컬 데이터베이스에 접근하여 주소록 정보(contacts.db), 기기 고유 ID, SMS 수발신 로그를 JSON 또는 XML 형태로 변환한 뒤 내부 XOR 암호화 루틴을 거쳐 공격자의 C2 서버(http://api.secure-data.club)로 HTTP POST 요청을 보낸다.

2. 악성 모듈 추가 다운로드 위험

해당 C2 서버와의 통신 패킷을 추적한 결과, 단순히 정보를 업로드하는 것에 그치지 않고, libjiagu.so 등의 네이티브 라이브러리를 통해 서버로부터 추가적인 암호화 DEX 파일(추가 악성 페이로드)을 실시간으로 다운로드받아 로드할 수 있는 구조를 취하고 있다. 이는 공격자가 원격에서 언제든 실시간 감시망을 피해 백도어 기능을 업그레이드하거나 금융 앱 탈취용 모듈을 추가할 수 있음을 뜻하므로 위험성이 매우 높다.

Ⅳ. 피해 예상 및 대처

1. 예상되는 피해 상황

  • 지인 대상 성착취 협박 (몸캠 피싱): 탈취된 연락처와 화상 채팅 중 녹화된 피해자의 음란 영상을 대조하여 가족, 친구, 직장 동료 등 전방위적인 유포 협박이 이루어진다.

  • 소셜 네트워크(SNS) 사칭 범죄: 탈취한 주소록 및 개인정보를 기반으로 피해자의 계정을 사칭하여 지인들에게 금전을 요구하는 2차 메신저 피싱으로 확대될 수 있다.

  • 사생활 정보 영구 유출: 유출된 개인 사진, 영상, SMS 내역이 다크웹이나 해외 음란 사이트 등에 판매·유포되어 영구적인 정신적·물질적 피해를 야기할 수 있다.

2. 피해 발생 시 초동 대처

  1. 송금 금지: 공격자에게 돈을 보낸다고 해서 영상이 삭제되지 않으며, 오히려 ‘돈이 되는 피해자’로 인식되어 2차, 3차 추가 갈취로 이어진다. 절대 송금하지 않는다.

  2. 증거 확보 및 차단: 협박을 받은 채팅방 화면, 상대방의 계정 정보, 송금 요청 계좌, 다운로드 링크 등을 캡처하여 증거를 확보한 뒤 공격자 계정을 차단한다.

  3. 기기 격리: 추가적인 정보 유출을 막기 위해 스마트폰의 네트워크(Wi-Fi, 데이터)를 즉시 차단하거나 전원을 끄고 공식 서비스 센터 및 보안 전문가의 도움을 받는다.

Ⅴ. 결론 및 대응 방안

1. 종합 결론

본 보고서에서 분석한 ‘혼자만봐.apk(Mfile)’ 악성코드는 전형적이면서도 고도화된 SextortionSpy(몸캠 피싱) 계열의 악성코드이다. 사용자의 성적 호기심을 자극하여 사회공학적(Social Engineering) 기법으로 접근한 뒤, 정적 분석을 방해하는 XOR 난독화와 백그라운드 영구 상주 기법을 사용하여 사용자의 전 재산과 다름없는 인맥 정보(주소록)를 통째로 갈취한다.

범죄 특성상 2차 금융 피해 및 심각한 정신적 피해로 직결되므로, 출처가 불분명한 APK 파일은 절대로 설치하지 않는 사용자 주의가 최선의 방어책이다. 만약 감염이 의심될 경우 단독적인 판단으로 앱만 지우거나 기기를 초기화하기보다 사법기관의 도움을 받아 체계적으로 대응해야 한다.

2. 스마트폰 보안 수칙 10계명

스미싱, 몸캠피싱 악성코드, 출처 불명의 APK 설치 피해를 줄이기 위해서는 스마트폰 사용 과정에서 기본적인 보안 수칙을 지키는 것이 중요합니다. 특히 몸캠피싱 상황에서는 상대방이 보낸 링크나 압축 파일, APK 파일을 무심코 실행하는 순간 연락처, 문자, 사진, 영상 등 민감한 정보가 외부로 노출될 수 있으므로 각별한 주의가 필요합니다.

  1. 출처가 불분명한 문자메시지나 메신저 링크는 클릭하지 않습니다.
  2. 스마트폰 설정에서 ‘출처를 알 수 없는 앱 설치’ 허용 여부를 반드시 확인합니다.
  3. 알 수 없는 상대가 보낸 APK, RAR, ZIP 등 압축 파일은 실행하지 않습니다.
  4. 스마트폰 운영체제와 보안 업데이트는 항상 최신 상태로 유지합니다.
  5. 모바일 백신 앱을 활용해 주기적으로 악성 앱 검사를 진행합니다.
  6. 보안이 불안정한 공용 와이파이에서는 계정 로그인이나 금융 관련 이용을 자제합니다.
  7. 주민등록증, 보안카드, 계좌 정보 등 중요한 개인정보 이미지는 스마트폰에 저장하지 않는 것이 좋습니다.
  8. 루팅이나 비공식 시스템 변경은 보안 취약점을 키울 수 있으므로 신중해야 합니다.
  9. 앱 설치 시 연락처, SMS, 사진, 영상, 저장소 등 과도한 권한을 요구하는지 반드시 확인합니다.
  10. 스마트폰을 교체하거나 초기화할 때는 개인정보와 계정 정보가 완전히 삭제되었는지 확인합니다.

몸캠피싱 악성코드는 대부분 사용자의 불안과 혼란을 이용해 설치를 유도합니다. 따라서 상대방이 특정 앱 설치, 링크 접속, 압축 파일 실행을 요구한다면 즉시 따라 하기보다 먼저 앱 이름, 파일명, 권한 요청 내용, 전달받은 링크를 확인하는 과정이 필요합니다. 이미 설치가 의심되는 경우에는 앱만 삭제하기보다 현재 어떤 권한이 허용되었는지, 어떤 정보가 노출되었을 가능성이 있는지 차분히 정리하는 것이 중요합니다.