이번 해킹 앱은 특별한 해킹 앱 분석을 진행하였습니다.

이전 '원클라우드' 라는 해킹 앱이 3개의 상이한 아이콘으로 'Bunny(버니)','Erotic(에로틱)','에로S' 등 으로 조회 되고 있는 앱입니다.

이 중, 가장 피해가 많이 발생하는 Bunny(버니) 앱을 대표적으로 분석하였으며, 다른 앱들도 유사한 정보를 소지하고 있습니다.

해당 앱의 특징으로는 피해자에게만 1회성으로 전달되는 초대 코드의 발행으로 서버 작업의 어려움이 있었지만, 이번 당사 측 S/W 업데이트로 작업이 가능해진 서버입니다.

해당 서버의 초대 코드의 경우 영문, 숫자가 섞인 특정 초대 코드로만 데이터 전송이 이루어지기에

해당 내용을 정확하게 인지하고 파훼하지 않으면 작업이 진행되지 않습니다.

일반적인 기업 및 인원이 진행할 수 있는 사항이 아니며 고급 분석,해킹 기술을 소지하고 있지 않다면 기술적인 부분으로 작업 진행이 되지 않는 특이 서버 입니다.

그렇기에 작년 12월부터 해당 특이서버의 발견과 동시에 파훼법을 지속적으로 탐색하였으며,

당사 측 화이트해커 및 개발진들과의 협업을 통하여 금번 업데이트를 진행 하였습니다.

1. 해킹앱 관련 기본 정보

file name: 1716446346540889052.apk

file Size: 8.17MB

MD5: ad3e4bd718acd8ea3c02d09e13a70a63

SHA-1: bc9524b10830398050bd787a2486fd66764acdd

SHA-256: b113c24345d7858805d865ed98b68b9bdac482999000140766e9d07bd6ba0a25

 ※ MD5, SHA-1, SHA-256 의 경우 암호화 해시 함수로, 해당 파일의 원본을 비교하기 위한 

무결성을 검증하기 위한 값입니다.

2. 어플리케이션 실행 화면

➡️ 앞서 안내 드린 것처럼 해당 이미지에 보이는 '초대 코드' 란의 기입되는 코드는 피해자에게 1회성으로 전달 되는 코드이기에 해당 내용에 대해 정확한 분석 및 파훼가 되지 않는다면 서버 작업은 사실상 불가 합니다.

3. 세부 분석 내용

1) 정적 분석

➡️ Bunny 소스코드 中 일부

➡️ Packge Name : com.example.mydemo

➡️ 소스코드 內 Main Activity : com.example.mydemo.LoginActivity

➡️ 퍼미션 목록을 확인하여 보면, 연락처,문자내역,휴대폰 정보,미디어(갤러리)를 탈취해 가는 것을 알 수 있습니다.

🚨 당사 유입 피해자 정보 (피해자 접촉 경로)

ⓐ 다톡 → 라인

ⓑ 다톡 → 텔레그램

ⓒ 근처톡 → 라인

ⓓ 밤중년 → 라인

ⓔ 수다 → 라인

ⓕ 피톡 → 라인

ⓖ 아르고 → 라인

ⓗ 엠티 → 라인

ⓘ 잭디 → 라인

ⓙ 중년천국 → 라인

ⓚ 트위터 → 라인

ⓛ 비밀수다 → 라인

ⓜ 엔프피 → 라인

ⓝ 위피 → 라인

ⓞ 커네팅 → 라인

ⓟ 가가라이브 → 라인 → 카카오톡

➡️ 피해자 정보를 기반으로 가해자는 다톡, 근처톡, 밤중년, 수다, 피톡, 아르고, 엠티, 잭디 등 다양한 랜덤채팅 어플에서 활동하며,

주로 라인을 통하여 2차 접촉을 하고 있습니다. 현재 나열된 랜덤채팅 어플 수로도 보이듯, 굉장히 많은 피해가 발생 되어 당사에 유입 되고 있습니다.

2) 다운 유도 URL

가해자들은 보통 악성앱 다운 유도 웹페이지를 구축할 때, 실제 인증이 된 앱처럼 보여지도록 하여 피해자들이 자연스럽게 다운로드 하도록 유도하기에 리뉴얼을 진행 할 때에 많은 시간을 들여 리뉴얼 하는 경향이 있습니다.

보통 몸캠피싱을 진행할 때에, 라인 페이스톡을 유도하여 해킹 및 사기를 진행하고 연락처 해킹을 통한 주소록 협박이 이루어지고 있습니다.

현재 분석을 진행한 Bunny 의 웹페이지에 대한 분석 내용으론 사용하는 IP : 172.xx.xx.xx // 104.xx.xx.xx , 사용 server : Cloudflare로 진행하는 것으로 파악 됩니다.

Country 의 경우, VPN 및 Proxy 사용으로 조작 가능하며 현재 Erotic 웹페이지의 Country 는 [ZZ]로 조회 되고 있습니다.

피해자 휴대폰 기종 : 안드로이드,아이폰

3) 동적 분석

> 네트워크 패킷 분석 툴

→ 실제 해킹앱 실행 시, 진행 되는 네트워크 패킷 분석을 진행하였으며 해당 분석의 내용으로는 해킹앱을 설치 후,

피해자가 앱을 실행 시키고 초대 코드를 입력할 경우, 피해자의 데이터가 수집 되어 저장되는 C&C 서버의 주소를 확인할 수 있습니다.

통신 프로토콜의 경우, HTTP로 확인되며 수집된 IP는 104.xx.xx.xx 이며, Domain 주소는 10x.xx.xx.xx 로 확인 되었습니다. 해당 IP 및 Domain 주소를 기반으로 가해자가 피해자의 데이터를 저장하고 있는 서버를 탐색할 수 있습니다.

→ 관리자(admin) 페이지의 경우, Bunny 앱의 변경 이전 '원클라우드'의 admin 페이지가 조회 되었습니다.

해당 서버의 경우, 찾는것은 가능하나 접속할 경우 국내법 상 처벌 받을 수 있기에 접근은 불가합니다. 

admin 페이지의 경우, 조회 여부와 관계 없이 당사측 S/W 통하여 가해자 서버 대상으로 진행하는 서버 작업이 정상적으로 가능합니다. 

당사 측 S/W는 고도화 된 기술을 기반으로 자체 제작 되었으며 타업체와는 차별화 되는 솔루션을 제공하고 있습니다.

또한, 해당 해킹앱의 경우 정확한 분석과 파훼법으로 작업 하지 않는다면 작업의 효과를 기대하긴 어렵습니다.

그렇기에 당사는 보다 고도화 된 분석과 파훼법으로 원활한 작업 진행하고 있습니다.

4. 분석 결과

▶️ 작업 가능 여부 : 가능

▶ 서버 보안 강도 : 중

▶ 서버 특이사항 : 해당 앱은 초대 코드가 1회성(피해자 1명에게만 부여 되는 고유 값이며, 초대 코드는 매번 변경 되기에 이전에는

해당 초대 코드 파훼법을 알지 못한다면 어떤 S/W에서도 작업이 불가. 해당 초대 코드 파훼는 고난이도의 기술로 특정 소수 인원의

분석 및 기술로만 가능)으로 진행 되기에, 서버작업이 불가 하였지만, 현재 당사 측 S/W 업데이트 통하여 작업 가능으로 변경 되었음.

또한, 해당 앱이 첫 발견 되었던 ‘원클라우드’의 admin 페이지를 보이고 있음.

▶ 탈취목록 : 휴대폰 정보,연락처, 문자내역, 미디어(갤러리)

▶ 적용 솔루션 : 더미 데이터, 데이터 인젝션