Ducktalk.apk 분석|몸캠피싱 악성 APK 권한 및 정보 유출 구조
악성 앱 설치가 의심될 때 먼저 확인해야 할 항목
Ducktalk.apk 분석|몸캠피싱 악성 APK 권한 및 정보 유출 구조
Ⅰ. 악성코드 개요
1. 파일 정보
| 항목 | 내용 |
|---|---|
| 분석 대상 | Ducktalk.apk |
| 위장 형태 | 커뮤니케이션 앱 위장 |
| 악성 유형 | Android 정보탈취형 악성 앱 |
| 관련 범죄 유형 | 몸캠피싱, 영상유포협박, 지인유포협박 |
| 주요 위험 행위 | 연락처, SMS, 이미지, 기기정보 수집 및 외부 전송 가능성 |
| 위험도 | 상(上) |
| 분석 기준 | 공개 분석 자료 및 Android 악성 앱 행위 패턴 기반 |
Ducktalk.apk는 몸캠피싱 상황에서 피해자에게 설치를 유도할 수 있는 안드로이드 악성 APK 유형으로 볼 수 있다. 공개 분석 자료에 따르면 해당 앱은 설치 시 Ducktalk이라는 이름으로 표시되며, 일반적인 커뮤니케이션 앱처럼 보이도록 위장되어 있다. 이는 피해자가 앱 설치 과정에서 경계심을 낮추도록 만드는 전형적인 위장 방식이다.
몸캠피싱에서 악성 APK는 단순한 보조 수단이 아니다. 공격자는 SNS, 랜덤채팅, 메신저 등을 통해 피해자와 접촉한 뒤 “비밀 채팅방”, “영상 확인 앱”, “보안 앱”, “전용 대화 앱” 등으로 속여 APK 설치를 유도하는 방식이 사용된다. AhnLab 역시 몸캠피싱 과정에서 공격자가 피해자에게 악성 앱 설치를 유도하고, 이를 통해 연락처와 개인정보를 탈취하는 흐름을 설명한 바 있다.
Ⅱ. 분석 환경
| 구분 | 사용 목적 |
|---|---|
| 정적 분석 | APK 구조, AndroidManifest.xml, 권한, 클래스, 문자열 확인 |
| 동적 분석 | 앱 실행 흐름, 권한 요청, 네트워크 통신 여부 확인 |
| 네트워크 분석 | 외부 서버 통신, 업로드 경로, 데이터 전송 흐름 확인 |
| 보안 평판 확인 | 다중 백신 탐지 여부 및 악성 분류 확인 |
본 보고서는 실제 피해자 보호와 악성 앱 식별을 목적으로 작성된 분석형 문서이다. 악성코드 제작, 변조, 재배포 목적이 아니라, 몸캠피싱 피해자가 설치한 앱의 위험성을 이해하고 현재 기기 상태를 점검하는 데 초점을 둔다.
Ⅲ. 악성 앱 구조 및 행위 분석
1. 앱 위장 방식 분석
Ducktalk.apk에서 주의해야 할 주요 Android 권한 분석
Ducktalk.apk는 이름상 일반적인 대화 앱 또는 커뮤니케이션 앱처럼 보일 수 있다. 공격자는 피해자에게 “이 앱에서 대화하자”, “영상 확인은 이 앱으로 해야 한다”, “보안 채팅방이라 안전하다”는 식으로 설치를 유도할 수 있다.
문제는 앱 이름이나 아이콘만으로는 악성 여부를 판단하기 어렵다는 점이다. 최근 몸캠피싱 악성 앱은 노골적인 해킹 도구처럼 보이지 않고, 오히려 평범한 앱처럼 보이도록 제작되는 경우가 많다.
위장형 악성 앱에서 주로 확인되는 특징은 다음과 같다.
| 항목 | 위험 신호 |
|---|---|
| 앱명 | 대화, 비밀, 앨범, 영상, 보안, 파일 등 정상 기능처럼 보이는 이름 |
| 아이콘 | 메신저, 갤러리, 보안 앱처럼 보이는 평범한 이미지 |
| 설치 방식 | 구글 플레이가 아닌 외부 링크 또는 APK 직접 전달 |
| 실행 후 동작 | 기능보다 권한 요청이 먼저 나타남 |
| 사용 목적 | 실제 기능보다 정보 수집 목적이 강함 |
Ducktalk.apk 역시 공개 자료 기준으로 일반적인 커뮤니케이션 앱처럼 보이도록 설계된 것으로 설명되어 있으며, 이는 몸캠피싱 악성 앱의 전형적인 사회공학적 위장 방식과 맞닿아 있다.
2. AndroidManifest.xml 권한 분석
몸캠피싱 악성 앱 분석에서 가장 먼저 봐야 할 부분은 AndroidManifest.xml이다. 이 파일에는 앱이 요청하는 권한과 주요 컴포넌트 정보가 포함된다.
Ducktalk.apk와 같은 정보탈취형 악성 앱에서 특히 주의해야 할 권한은 다음과 같다.
| 권한 | 위험성 |
|---|---|
READ_CONTACTS |
연락처 목록 접근 가능 |
READ_SMS |
문자 내용 접근 가능 |
READ_PHONE_STATE |
전화번호, 단말 상태 정보 확인 가능 |
READ_EXTERNAL_STORAGE |
저장소 내 파일 접근 가능 |
READ_MEDIA_IMAGES |
사진 파일 접근 가능 |
READ_MEDIA_VIDEO |
영상 파일 접근 가능 |
INTERNET |
외부 서버 통신 가능 |
REQUEST_INSTALL_PACKAGES |
추가 APK 설치 유도 가능 |
정상적인 커뮤니케이션 앱이라면 연락처 접근 정도는 기능상 설명될 수 있다. 하지만 사진, 영상, SMS, 전화 상태, 외부 서버 통신 권한이 결합되면 이야기가 달라진다. 특히 몸캠피싱 상황에서는 연락처와 미디어 접근 권한이 협박 수단으로 악용될 수 있다.
즉, Ducktalk.apk 같은 앱이 실제 대화 기능보다 민감 정보 접근 권한을 넓게 요구한다면, 이는 단순한 앱이 아니라 피해자 기기 내 정보를 수집하기 위한 악성 앱으로 의심해야 한다.
3. 유출 서버 및 API 경로 분석
공개 분석 자료에 따르면 Ducktalk.apk는 다음과 같은 서버 경로를 통해 민감 정보를 전송하는 구조가 언급되어 있다.
base URL:
hxxp://yubtrqvz12254[.]monster/prod-api/
유출 경로:
POST /login
POST /image
POST /fksms각 경로는 다음과 같은 의미로 해석할 수 있다.
| 경로 | 추정 기능 | 위험성 |
|---|---|---|
/login |
사용자 또는 단말 식별 정보 전송 | 피해자 기기 식별 가능성 |
/image |
이미지 파일 업로드 | 사진·앨범 정보 유출 가능성 |
/fksms |
SMS 및 기타 민감정보 전송 | 문자·연락처 기반 2차 피해 가능성 |
특히 /image와 /fksms 경로는 몸캠피싱 피해자에게 치명적이다. 사진, 영상, 문자, 연락처 정보가 외부 서버로 전송될 경우 공격자는 이를 바탕으로 “지인에게 보내겠다”, “가족에게 알리겠다”, “회사 사람에게 전송하겠다”는 식의 협박을 강화할 수 있다.
Ducktalk.apk의 정보 수집 및 외부 서버 전송 흐름 예시
4. 코드 레벨 행위 분석
Ducktalk.apk와 같은 악성 앱은 보통 앱 내부에서 다음과 같은 흐름을 가진다.
// 예시: 실제 악성 코드가 아니라 분석 설명용 의사 코드
collectDeviceInfo();
collectContactList();
collectSmsData();
collectImageFiles();
uploadToServer("/login", deviceInfo);
uploadToServer("/fksms", smsAndContacts);
uploadToServer("/image", imageFiles);위 흐름은 악성 앱이 어떤 방식으로 동작하는지 이해하기 위한 설명용 구조다. 실제 악성 앱에서는 클래스명과 메서드명이 난독화되어 있거나, 문자열이 암호화되어 있어 정적 분석만으로는 바로 드러나지 않을 수 있다.
예를 들어 다음과 같은 형태의 코드가 발견된다면 문자열 난독화 가능성을 의심할 수 있다.
charArray[i] = (char)(charArray[i] ^ 16);이러한 XOR 연산은 앱 내부의 서버 주소, API 경로, 클래스명, 메서드명 등을 평문으로 드러나지 않게 만드는 데 사용될 수 있다. 고급 암호화라고 보기는 어렵지만, 자동 분석 도구나 초보 분석자가 악성 행위를 빠르게 파악하지 못하도록 방해하는 효과가 있다.
Ducktalk.apk 코드 분석 중 문자열 난독화 흐름 예시
5. 네트워크 통신 구조 분석
Ducktalk.apk의 핵심 위험성은 단말 내부 정보가 외부 서버로 전송될 수 있다는 점이다. 공개 자료에 언급된 /login, /image, /fksms 경로를 기준으로 보면, 앱은 다음과 같은 흐름을 가질 가능성이 있다.
피해자 스마트폰
↓
앱 실행 및 권한 확보
↓
기기 정보 / 연락처 / SMS / 이미지 수집
↓
외부 서버 API로 전송
↓
공격자 측 관리 페이지 또는 저장소에서 확인이 구조에서 중요한 점은 앱이 단순히 설치되는 것만으로 끝나지 않는다는 것이다. 권한이 허용된 뒤에는 기기 내 정보가 서버로 전송될 수 있고, 공격자는 이를 바탕으로 피해자를 더 강하게 압박할 수 있다.
Ⅳ. 피해 예상
Ducktalk.apk 설치 시 발생할 수 있는 주요 피해 유형
Ducktalk.apk와 같은 몸캠피싱 악성 앱이 설치될 경우 예상되는 피해는 다음과 같다.
| 피해 유형 | 설명 |
|---|---|
| 연락처 유출 | 가족, 친구, 직장 동료 정보가 협박 수단으로 악용될 수 있음 |
| SMS 유출 | 문자 내용, 인증 관련 메시지, 사적 대화 내용 노출 가능성 |
| 사진·영상 유출 | 갤러리 내 이미지와 영상이 외부로 전송될 수 있음 |
| 기기정보 노출 | 전화번호, 통신 환경, 단말 식별 정보가 수집될 수 있음 |
| 2차 협박 | 수집된 정보를 바탕으로 추가 송금 요구 가능성 |
| 추가 APK 유도 | 다른 악성 앱 설치로 이어질 수 있음 |
몸캠피싱에서는 실제 유포 여부보다 “상대가 내 연락처와 사진을 가지고 있다고 믿게 만드는 것” 자체가 협박의 핵심이 된다. 따라서 악성 앱 설치 여부와 권한 허용 여부를 빠르게 확인하는 것이 중요하다.
Ⅴ. 결론 및 대응 방안
1. 결론
Ducktalk.apk는 공개 분석 자료 기준으로 몸캠피싱과 관련된 악성 APK 사례로 확인되며, 일반 커뮤니케이션 앱처럼 위장한 뒤 민감 정보 유출 경로를 가진 것으로 설명된다. 특히 /login, /image, /fksms와 같은 서버 경로가 언급된 점을 보면, 단순한 대화 앱이 아니라 기기 정보, 이미지, 문자 및 연락처 관련 데이터를 외부로 전송할 수 있는 정보탈취형 악성 앱으로 보는 것이 타당하다.
몸캠피싱 상황에서 이런 앱은 피해자의 공포를 키우는 핵심 도구로 사용될 수 있다. 앱 설치 전에는 정상 앱처럼 보이지만, 설치 후에는 연락처, 문자, 사진, 영상, 기기정보가 협박 수단으로 바뀔 수 있다.
2. 설치가 의심될 때 확인해야 할 항목
Ducktalk.apk 또는 유사 앱을 설치했을 가능성이 있다면 다음 항목을 먼저 확인해야 한다.
| 확인 항목 | 확인 이유 |
|---|---|
| 설치된 앱 이름 | Ducktalk, 비밀채팅, 앨범, 영상, 보안 등 위장 앱 여부 확인 |
| 설치 시점 | 유출 가능 시간대 판단 |
| 앱 권한 | 연락처, 문자, 사진, 영상, 저장소 접근 여부 확인 |
| 받은 APK 파일명 | 실제 분석 대상 특정 |
| 상대가 보낸 링크 | 유포 경로 확인 |
| 대화 내용 | 협박 흐름과 요구사항 정리 |
| 의심 서버 통신 | 외부 전송 여부 판단에 참고 |
악성 앱 설치가 의심될 때 먼저 확인해야 할 항목
무작정 앱만 삭제하거나 대화방을 지우면 이후 상황 확인이 어려워질 수 있다. 먼저 어떤 앱을 설치했고, 어떤 권한을 허용했으며, 어떤 정보가 노출됐을 가능성이 있는지 정리하는 과정이 필요하다.