닥터피싱 기술 보고서: 몸캠피싱 악용 FILEM 악성 앱 분석

닥터피싱X아크링크 Deep-Coding 기술을 활용한 악성 앱 분석 보고서 입니다.

Aug 14, 2025

Contents

1. 개요 (Executive Summary)2. 몸캠피싱과 FILEM 개요 2-1. 몸캠피싱 범죄 개념과 최근 동향 2-2. FILEM 악성 앱이 몸캠피싱에 사용되는 방식 개요 2-3. 최근 유포 추세 특징 3. FILEM 몸캠피싱 실제 피해 사례 분석 3-1. 피해자 유형 개요 3-2. 피해 발생 시나리오 3-3. 피해 규모 및 2차 피해 경로 4. FILEM 악성 앱 기술 분석 4-1. 감염 경로 4-2. 앱 내부 구조 5. 사용자 대응 가이드 몸캠피싱·딥페이크 악성 앱 분석은? : 닥터피싱

1. 개요 (Executive Summary)

보고서 목적
대상 악성 앱: FILEM
분석 주체: 닥터피싱
주요 범죄 유형: 몸캠피싱
핵심 발견 사항 요약 (예: 감염 경로, 주요 피해 특징, 대응 필요성)

2. 몸캠피싱과 FILEM 개요

2-1. 몸캠피싱 범죄 개념과 최근 동향

몸캠피싱은 성적 대화를 미끼로 영상·이미지 등 민감정보를 확보한 뒤 금전 요구로 이어지는 디지털 갈취 범죄.
최근 트렌드: 악성 앱(예: FILEM) 연계, 메신저 자동 발송, 딥페이크·합성물 활용 협박, 해외 C2 서버와의 통신 고도화.
닥터피싱(Dr.Phishing)은 실증 사례·악성 앱 분석을 바탕으로 유포 경로 차단·2차 유포 억제·피해자 보호 가이드를 제공.

2-2. FILEM 악성 앱이 몸캠피싱에 사용되는 방식 개요

위장 전술: 동영상 재생·채팅·뷰어 앱으로 위장, 아이콘·리소스 다변화.
권한 남용: 사진·영상·외부저장소·연락처·전화번호 접근 권한을 결합해 탈취→협박
네트워크 통신: 설치 직후 외부 C2(API)와 통신, 기기·미디어 메타데이터 전송.
전파 메커니즘: 메신저 SDK/내장 유틸을 이용해 협박 메시지 자동 발송.
지속성: 백그라운드 서비스로 상주, 재부팅 후 재실행·자가 삭제/숨김 기능 포함 사례 존재.

2-3. 최근 유포 추세 특징

APK(악성 앱) 위장형
동영상 재생이나 채팅 앱으로 가장한 악성 앱을 설치하게 만든 뒤, 실행 즉시 사진·영상·연락처를 몰래 가져가고, 확보한 정보를 바탕으로 메신저를 통해 협박 메시지를 자동으로 퍼뜨린다. 대표 사례가 FILEM 앱이다.
계정 탈취형
가짜 로그인 페이지를 만들어 메신저나 이메일 계정을 입력하도록 유도한 후, 주소록과 대화 내역을 빼내 피해자의 지인에게 유포 협박을 가하는 방식이다.
합성물(딥페이크) 활용형
피해자의 공개된 사진이나 목소리를 모아 합성 영상을 만든 뒤, 실제 촬영물이 있는 것처럼 위장해 협박하는 유형이다. 최근 들어 정교해진 딥페이크 기술로 위협 강도가 높아지고 있다.

3. FILEM 몸캠피싱 실제 피해 사례 분석

3-1. 피해자 유형 개요

연령대 : 40대 후반
성별 : 남성
직업군 : 직장인

3-2. 피해 발생 시나리오

40대 피해자는 온라인 골프 모임 대화방에서 한 여성과 개인적으로 연락을 시작함.
지속적인 대화를 통해 친밀감이 형성되었고, 여성은 성적 대화를 유도함.
피해자는 상대방으로부터 노골적인 사진을 먼저 받은 뒤 자신의 사진을 전송함.
이후 해당 사진을 빌미로 협박이 시작되어 수천만 원대 금전 피해가 발생함.

3-3. 피해 규모 및 2차 피해 경로

금전 피해 : 수천만 원대 송금
2차 피해 경로
1. 메신저를 통한 지인 협박 및 평판 훼손
- 영상 일부 온라인 유포 시도
- 삭제·법률 대응 비용 추가 발생

4. FILEM 악성 앱 기술 분석

4-1. 감염 경로

유포 채널 (SNS, 메신저, 광고 페이지 등)
1. 인스타그램, 카톡, 연락처 일부 유출
설치 유도 방식 (위장 앱, 피싱 메시지 등)
1. 사진 어플 형식 유도

4-2. 앱 내부 구조

4-2(1).FILEM 악성 앱 기본정보

APK 용량이 12.87MB로, 정상 앱에 비해 비교적 작음.
과도한 권한을 요구하는데 용량이 작다면, 내부 기능이 단순한 대신 민감정보 탈취 코드만 포함될 가능성이 큼.
해시값(MD5, SHA-1, SHA-256)은 이 APK가 다른 악성 앱 샘플과 동일한지
비교·검증할 때 사용 가능.

4-2(2).FILEM 악성 앱 안드로이드 인증 여부 확인

발급받은 인증서가 구글 플레이스토어 및 앱스토어에서 배포되는 공식 인증서가 아님
인증서 정보가 의심스럽고, 이 형태는 피싱 악성 앱 제작·배포에 사용된 형식과 유사

4-2(3).FILEM 악성 앱 권한 및 액티비티

악성 앱 권한

READ_MEDIA_VIDEO / READ_MEDIA_IMAGES → 저장된 사진·동영상 접근
READ_EXTERNAL_STORAGE / WRITE_EXTERNAL_STORAGE → 외부 저장소 읽기·쓰기 가능
READ_PHONE_NUMBERS → 휴대폰 번호 수집 가능
READ_CONTACTS → 주소록 전체 접근 가능

이 권한들은 몸캠피싱·파일 탈취형 악성 앱이 흔히 요구하는 조합입니다.

Activities (주요 실행 화면/기능)

com.nectarfly.orbitaire.view.HomeActivity
com.nectarfly.orbitaire.view.ContainActivity
com.blank.utilcode.util.UtilsTransActivity4MainProcess
com.blank.utilcode.util.UtilsTransActivity

→ 앱이 실행 시 어떤 화면(Activity)을 호출하는지 보여주는 정보이며, com.blank.utilcode 같은 유틸리티 클래스는 악성 앱이 기능을 숨기거나 데이터 전송을 처리할 때 자주 쓰입니다.

4-2(4).FILEM 악성 앱 서비스 및 URL 목록

com.blankj.utilcode.util.MessengerUtils$ServerService
→ 앱 내부에서 메신저 관련 기능을 수행하는 서버 서비스로 파악됨.

URL 목록 분석

https://kubdad.store/prod-api/ → 외부 서버, 데이터 전송·수집용 API 서버로 의심

메신저 기반 데이터 송신 기능과 외부 악성 서버(kubdad.store) 통신 기능을 가진 것으로 보이며, 공식 경로 외부에서 설치 시 민감 정보 탈취·몸캠피싱 연계 가능성이 매우 높음.

4-2(5).FILEM 악성 앱 리소스와 코드 구성 요소

DEX 파일이 2개뿐이라 구조는 비교적 단순하지만, XML과 리소스가 많은 편 → UI는 다양한 형태로 위장 가능
MESSAGEBODYWRITER/READER 존재 → 외부 서버와의 데이터 송수신 가능성 높음
GZ 압축 파일 포함 → 앱 실행 중 외부 리소스나 추가 코드 로딩 가능성 있음
Kotlin 기반으로 작성된 것으로 보이며(KOTLIN_BUILTINS), 최신 안드로이드 앱 개발 트렌드와 유사

5. 사용자 대응 가이드

분석한 내용을 바탕으로 사용자 대응 가이드를 제시한다.

Mitre Att&ck에서 사용자가 제어할 수 있는 각 단계를 기반으로 사용자가 주의할 내용과 악성앱 실행 시 취할 수 있는 조치를 제시했다.

의심스러운 링크 클릭 금지

인터넷을 사용하면서 접하는 링크 중에는 피싱이나 악성 코드를 포함하고 있는 경우가 있다.

이러한 링크는 이메일, 문자 메시지, 소셜 미디어, 심지어 친구나 지인으로부터 받은 것일지라도 의심스러운 경우 클릭을 피해야 한다.

특히, 앱을 다운로드할 때는 항상 공식 앱 스토어를 이용하고, 공식 스토어가 아닌 곳에서 제공하는 앱은 설치하지 않도록 한다.

공식 스토어 외부에서 제공되는 앱은 검증되지 않았을 가능성이 높으며, 악성 코드가 포함될 위험이 있다.

최신 안드로이드 버전 업데이트 유지

구버전의 안드로이드 운영 체제는 보안 취약점을 포함하고 있을 수 있다. 이러한 취약점은 공격자가 악성 행위를 수행하기 위해 악용할 수 있다.

따라서, 안드로이드 기기를 항상 최신 버전으로 업데이트하는 것이 중요하다.

시스템 업데이트는 보안 패치 및 새로운 보안 기능을 제공하여 기기와 데이터를 보호할 수 있다.

주기적 미사용 앱 삭제

스마트폰에 설치되어 있지만 사용하지 않는 앱들은 보안 위험을 증가시킬 수 있다.

이러한 앱들은 종종 업데이트되지 않아 새로운 보안 취약점에 노출될 수 있다.

주기적으로 기기를 검토하고 더 이상 사용하지 않는 앱을 삭제함으로써, 불필요한 보안 위험을 줄일 수 있다.

앱 권한 부여 관리

앱을 설치하거나 사용할 때 요구되는 권한을 신중하게 검토해야 한다.

많은 앱들이 기능 실행에 필요한 것 이상의 권한을 요청할 수 있으며, 이는 사용자의 개인정보와 보안에 위험을 초래할 수 있다.

예를 들어, 플래시라이트 앱이 연락처 접근 권한을 요구하는 경우, 이는 의심스러운 요구로 간주될 수 있다. 반드시 필요한 권한만 허용하여 사용해야한다.

안드로이드 단말의 설정 메뉴에서 앱 권한을 관리할 수 있으며, 사용자는 각 앱에 부여된 권한을 확인하고 필요하지 않은 권한은 비활성화할 수 있다.

이미 설치된 앱에 대해서도 주기적으로 검토하는 것을 권장한다.

단말기의 비정상 동작 감지 시 전문가 상담

기기가 평소와 다르게 느려지거나 예상치 못한 방식으로 동작하는 경우, 이는 악성 앱의 영향일 수 있다.

이러한 증상이 나타나면 기기를 전문가에게 검사해야 한다.

전문가는 기기의 보안 상태를 확인하고 필요한 경우 악성 코드 제거나 기타 보안 조치를 취할 수 있다.

몸캠피싱 악성 앱 [FILEM.apk] 분석을 마치며, 낯선 이가 공유하는 앱을 함부로 다운받지 않도록 당부의 말씀을 드립니다.

이상, 사이버 범죄 · 몸캠피싱 대응 전문 기업 아크링크였습니다.

도움이 필요하시면 언제든 연락 바랍니다.

Towards Safety, Towards Freedom.

안전한 디지털 환경과 더 나은 내일을 연결합니다.

몸캠피싱·딥페이크 악성 앱 분석은? : 닥터피싱

*이미지를 클릭하시면 닥터피싱 사이트로 연결됩니다.

Subscribe to our newsletter.