몸캠피싱 악용 LOVENSES.apk 악성 앱 분석: 닥터피싱 기술 보고서

1. 개요 (Executive Summary)

• 보고서 목적

• 대상 악성 앱: LOVENSES

• 분석 주체: 닥터피싱

• 주요 범죄 유형: 몸캠피싱

• 핵심 발견 사항 요약 (예: 감염 경로, 주요 피해 특징, 대응 필요성)

2. 몸캠피싱과 LOVENSES 개요

2-1. 몸캠피싱 범죄 개념과 최근 동향

• 몸캠피싱은 성적 대화를 미끼로 영상·이미지 등 민감정보를 확보한 뒤 금전 요구로 이어지는 디지털 갈취 범죄.

• 최근 트렌드: 악성 앱(예: FILEM) 연계, 메신저 자동 발송, 딥페이크·합성물 활용 협박, 해외 C2 서버와의 통신 고도화.

• 닥터피싱(Dr.Phishing)은 실증 사례·악성 앱 분석을 바탕으로 유포 경로 차단·2차 유포 억제·피해자 보호 가이드를 제공.

2-2. LOVENSES 악성 앱이 몸캠피싱에 사용되는 방식 개요

• 위장 전술: 성인기구 앱으로 위장, 아이콘·리소스 다변화.

• 권한 남용: 사진·영상·외부저장소·연락처·전화번호 접근 권한을 결합해 탈취→협박

• 네트워크 통신: 설치 직후 외부 C2(API)와 통신, 기기·미디어 메타데이터 전송.

• 전파 메커니즘: 메신저 SDK/내장 유틸을 이용해 협박 메시지 자동 발송.

• 지속성: 백그라운드 서비스로 상주, 재부팅 후 재실행·자가 삭제/숨김 기능 포함 사례 존재.

2-3. 최근 유포 추세 특징

• APK(악성 앱) 위장형
  동영상 재생이나 채팅 앱으로 가장한 악성 앱을 설치하게 만든 뒤, 실행 즉시 사진·영상·연락처를 몰래 가져가고, 확보한 정보를 바탕으로 메신저를 통해 협박 메시지를 자동으로 퍼뜨린다. 대표 사례가 LOVENSES 앱이다.

• 계정 탈취형
  가짜 로그인 페이지를 만들어 메신저나 이메일 계정을 입력하도록 유도한 후, 주소록과 대화 내역을 빼내 피해자의 지인에게 유포 협박을 가하는 방식이다.

• 합성물(딥페이크) 활용형
  피해자의 공개된 사진이나 목소리를 모아 합성 영상을 만든 뒤, 실제 촬영물이 있는 것처럼 위장해 협박하는 유형이다. 최근 들어 정교해진 딥페이크 기술로 위협 강도가 높아지고 있다.

3. LOVENSES 악성 앱 기술 분석

3-1. 감염 경로

• 유포 채널 (SNS, 메신저, 광고 페이지 등)

  1. 인스타그램, 카톡, 연락처 일부 유출

• 설치 유도 방식 (위장 앱, 피싱 메시지 등)

  1. 어플 형식 유도

3-2. 앱 내부 구조

3-2(1).LOVENSES 악성 앱 기본정보

• 12.61 MB로 중·소형 파일 크기 범위내로 정상 앱 대비 용량·기능 불균형이 있을 때 악성 앱은 대부분 파일 크기가 작음.

• 이 APK는 공식 개발자 인증서로 서명되지 않음.

• 정상 앱(예: Google, Naver, Kakao 등)은 CN, OU, O, C 필드에 회사명과 조직명이 명시되어 있는데, 이런 식의 단일값(CN=1)은 악성 앱 제작자들이 흔히 사용하는 정식 인증이 없는 서명일 확률이 높음.

• 공식 경로(플레이스토어 등)에서 받은 앱이 아니라면, 악성 앱(피싱, 정보 탈취형)으로 분류 가능성이 매우 높음.

3-2(3).LOVENSES 악성 앱 권한 및 액티비티

Permissions (민감 권한 요청)

사진·영상·연락처·전화번호 등 개인정보 접근 권한이 다수 포함되어 있고,
MOUNT_UNMOUNT_FILESYSTEMS 같은 비정상적 고위험 권한이 존재합니다.
이는 정보 탈취형 악성 앱의 전형적인 권한 요청.

이 권한들은 몸캠피싱 악성 앱이 흔히 요구하는 조합이다.

Activities (주요 실행 화면/기능)

• com.astreon.lumisphere.view.MainActivity

• com.astreon.lumisphere.view.SecondActivity

• com.blankj.utilcode.util.UtilsTransActivity4MainProcess

• com.blankj.utilcode.util.UtilsTransActivity

→ 패키지명(astreon.lumisphere)은 실제 존재하지 않는 브랜드명으로, 위장 앱일 가능성이 있다.

• UtilsTransActivity 계열

  → blankj.utilcode는 중국계 오픈소스 유틸리티 라이브러리로, 화면 전환이나 백그라운드 실행을 쉽게 만드는 기능.
  → 종종 악성 행위(숨김 실행, 권한 획득 후 자동 동작) 에 이용된다.

※ 공식 앱보다는, 개인정보를 수집·유출하거나 몸캠피싱 등에 악용될 가능성이 높은 비정상 APK 구조.

3-2(4).LOVENSES 악성 앱 서비스 및 URL 목록

Service (서비스 구조)

com.blankj.utilcode.util.MessengerUtils$ServerService

• blankj.utilcode → 중국계 오픈소스 유틸리티 라이브러리.

• $ServerService → 앱 내부에서 메시지(데이터)를 주고받거나 서버와 통신하는 역할을 담당.

• 이름과 구성으로 볼 때,
  서버 통신 백그라운드 기능을 구현한 것으로 추정.

https://bhyjznbalkf.monster/prod-api/→ 가장 주의해야 할 의심 서버

• .monster 도메인은 무료 등록이 가능하고, 악성코드 배포나 피싱 서버에 자주 쓰임.

• prod-api라는 경로는 데이터 수집용 API 주소로 위장하기 좋음.
  → C2(Command & Control) 서버, 즉 해커가 피해자 정보를 모으는 서버일 가능성이 높음.

3-2(5).LOVENSES 악성 앱 리소스와 코드 구성 요소

1. UI 구성요소 풍부 (정상 앱처럼 위장 가능)

   • XML과 이미지 파일이 많아 겉보기엔 잘 만들어진 앱처럼 보이지만,
     실제 실행부(DEX)가 적기 때문에 실질적 기능은 단순하거나 은닉돼 있을 가능성이 높음.

2. 네트워크 통신 구조 포함

   • MessageBodyReader/Writer, JSON, GZ가 함께 존재 → 외부 서버와 주기적으로 데이터를 주고받는 구조로 판단됨.

3. 백그라운드 자동 실행 가능성

   • Providers, Autodiscoverable, Coroutine 관련 항목 → 사용자 몰래 지속 실행하거나 자동 업데이트/전송 수행 가능.

4. RSA 서명 존재하지만, 비공식 인증서 가능성

   • “RSA”가 있다는 건 서명이 있긴 하지만, 위의 인증서 분석처럼 자가 서명(공식 아님)일 확률이 높음.

4. 사용자 대응 가이드

분석한 내용을 바탕으로 사용자 대응 가이드를 제시한다.

Mitre Att&ck에서 사용자가 제어할 수 있는 각 단계를 기반으로 사용자가 주의할 내용과 악성앱 실행 시 취할 수 있는 조치를 제시했다.

1. 의심스러운 링크 클릭 금지

인터넷을 사용하면서 접하는 링크 중에는 피싱이나 악성 코드를 포함하고 있는 경우가 있다.

이러한 링크는 이메일, 문자 메시지, 소셜 미디어, 심지어 친구나 지인으로부터 받은 것일지라도 의심스러운 경우 클릭을 피해야 한다.

특히, 앱을 다운로드할 때는 항상 공식 앱 스토어를 이용하고, 공식 스토어가 아닌 곳에서 제공하는 앱은 설치하지 않도록 한다.

공식 스토어 외부에서 제공되는 앱은 검증되지 않았을 가능성이 높으며, 악성 코드가 포함될 위험이 있다.

2. 최신 안드로이드 버전 업데이트 유지

구버전의 안드로이드 운영 체제는 보안 취약점을 포함하고 있을 수 있다. 이러한 취약점은 공격자가 악성 행위를 수행하기 위해 악용할 수 있다.

따라서, 안드로이드 기기를 항상 최신 버전으로 업데이트하는 것이 중요하다.

시스템 업데이트는 보안 패치 및 새로운 보안 기능을 제공하여 기기와 데이터를 보호할 수 있다.

3. 주기적 미사용 앱 삭제

스마트폰에 설치되어 있지만 사용하지 않는 앱들은 보안 위험을 증가시킬 수 있다.

이러한 앱들은 종종 업데이트되지 않아 새로운 보안 취약점에 노출될 수 있다.

주기적으로 기기를 검토하고 더 이상 사용하지 않는 앱을 삭제함으로써, 불필요한 보안 위험을 줄일 수 있다.

4. 앱 권한 부여 관리

앱을 설치하거나 사용할 때 요구되는 권한을 신중하게 검토해야 한다.

많은 앱들이 기능 실행에 필요한 것 이상의 권한을 요청할 수 있으며, 이는 사용자의 개인정보와 보안에 위험을 초래할 수 있다.

예를 들어, 플래시라이트 앱이 연락처 접근 권한을 요구하는 경우, 이는 의심스러운 요구로 간주될 수 있다. 반드시 필요한 권한만 허용하여 사용해야한다.

안드로이드 단말의 설정 메뉴에서 앱 권한을 관리할 수 있으며, 사용자는 각 앱에 부여된 권한을 확인하고 필요하지 않은 권한은 비활성화할 수 있다.

이미 설치된 앱에 대해서도 주기적으로 검토하는 것을 권장한다.

5. 단말기의 비정상 동작 감지 시 전문가 상담

기기가 평소와 다르게 느려지거나 예상치 못한 방식으로 동작하는 경우, 이는 악성 앱의 영향일 수 있다.

이러한 증상이 나타나면 기기를 전문가에게 검사해야 한다.

전문가는 기기의 보안 상태를 확인하고 필요한 경우 악성 코드 제거나 기타 보안 조치를 취할 수 있다.

몸캠피싱 악성 앱 [FILEM.apk] 분석을 마치며, 낯선 이가 공유하는 앱을 함부로 다운받지 않도록 당부의 말씀을 드립니다.

이상, 사이버 범죄 · 몸캠피싱 대응 전문 기업 아크링크였습니다.

도움이 필요하시면 언제든 연락 바랍니다.

Towards Safety, Towards Freedom.

안전한 디지털 환경과 더 나은 내일을 연결합니다.

몸캠피싱·딥페이크 악성 앱 분석은? : 닥터피싱

*이미지를 클릭하시면 닥터피싱 사이트로 연결됩니다.