아크링크 칼럼

닥터피싱 기술 보고서: 몸캠피싱 악용 레드보이(RED BOY) 악성 앱 분석

닥터피싱X아크링크 Deep-Coding 기술을 활용한 악성 앱 분석 보고서 입니다.
콘텐츠 에디터 전서영's avatar
콘텐츠 에디터 전서영
Aug 22, 2025
닥터피싱 기술 보고서: 몸캠피싱 악용 레드보이(RED BOY) 악성 앱 분석
Contents
1. 개요 (Executive Summary)2. 몸캠피싱과 FILEM 개요2-1. 몸캠피싱 범죄 개념과 최근 동향2-2. FILEM 악성 앱이 몸캠피싱에 사용되는 방식 개요2-3. 최근 유포 추세 특징3. RED BOY 몸캠피싱 실제 피해 사례 분석3-1. 피해자 유형 개요3-2. 피해 발생 시나리오3-3. 피해 규모 및 2차 피해 경로4. RED BOY 악성 앱 기술 분석4-1. 감염 경로4-2. 앱 내부 구조5. 사용자 대응 가이드몸캠피싱·딥페이크 악성 앱 분석은? : 닥터피싱

1. 개요 (Executive Summary)

  • 보고서 목적

  • 대상 악성 앱: 레드보이(RED BOY)

  • 분석 주체: 닥터피싱

  • 주요 범죄 유형: 몸캠피싱

  • 핵심 발견 사항 요약 (예: 감염 경로, 주요 피해 특징, 대응 필요성)

2. 몸캠피싱과 FILEM 개요

2-1. 몸캠피싱 범죄 개념과 최근 동향

  • 몸캠피싱은 성적 대화를 미끼로 영상·이미지 등 민감정보를 확보한 뒤 금전 요구로 이어지는 디지털 갈취 범죄.

  • 최근 트렌드: 악성 앱(예: FILEM) 연계, 메신저 자동 발송, 딥페이크·합성물 활용 협박, 해외 C2 서버와의 통신 고도화.

  • 닥터피싱(Dr.Phishing)은 실증 사례·악성 앱 분석을 바탕으로 유포 경로 차단·2차 유포 억제·피해자 보호 가이드를 제공.

2-2. FILEM 악성 앱이 몸캠피싱에 사용되는 방식 개요

  • 위장 전술: 동영상 재생·채팅·뷰어 앱으로 위장, 아이콘·리소스 다변화.

  • 권한 남용: 사진·영상·외부저장소·연락처·전화번호 접근 권한을 결합해 탈취→협박

  • 네트워크 통신: 설치 직후 외부 C2(API)와 통신, 기기·미디어 메타데이터 전송.

  • 전파 메커니즘: 메신저 SDK/내장 유틸을 이용해 협박 메시지 자동 발송.

  • 지속성: 백그라운드 서비스로 상주, 재부팅 후 재실행·자가 삭제/숨김 기능 포함 사례 존재.

2-3. 최근 유포 추세 특징

  • APK(악성 앱) 위장형
    동영상 재생이나 채팅 앱으로 가장한 악성 앱을 설치하게 만든 뒤, 실행 즉시 사진·영상·연락처를 몰래 가져가고, 확보한 정보를 바탕으로 메신저를 통해 협박 메시지를 자동으로 퍼뜨린다. 대표 사례가 FILEM 앱이다.

  • 계정 탈취형
    가짜 로그인 페이지를 만들어 메신저나 이메일 계정을 입력하도록 유도한 후, 주소록과 대화 내역을 빼내 피해자의 지인에게 유포 협박을 가하는 방식이다.

  • 합성물(딥페이크) 활용형
    피해자의 공개된 사진이나 목소리를 모아 합성 영상을 만든 뒤, 실제 촬영물이 있는 것처럼 위장해 협박하는 유형이다. 최근 들어 정교해진 딥페이크 기술로 위협 강도가 높아지고 있다.

3. RED BOY 몸캠피싱 실제 피해 사례 분석

레드보이(RED BOY) 몸캠피싱 악성 앱 실제 화면
레드보이(RED BOY) 몸캠피싱 악성 앱 실제 화면

3-1. 피해자 유형 개요

  • 연령대 : 20대 후반

  • 성별 : 남성

  • 직업군 : 대학생

3-2. 피해 발생 시나리오

  1. 휴가 중이던 20대 군인은 인스타에서 알게 된 남성과 대화를 시작함.

  2. 영상통화를 제안받은 뒤, 상대방이 보낸 앱을 설치함.

  3. 설치 직후 기기 피해자 영상과 연락처가 외부로 유출됨.

  4. 이후 노출 영상을 빌미로 한 협박이 시작됨.

  5. 금전 요구에 응하지 않자 지인에게 유포하겠다는 압박을 받으며 큰 심리적 충격을 겪음.

3-3. 피해 규모 및 2차 피해 경로

  • 금전 피해 : X

  • 2차 피해 경로

    1. 메신저를 통한 지인 협박 및 평판 훼손

4. RED BOY 악성 앱 기술 분석

4-1. 감염 경로

  • 유포 채널 (SNS, 메신저, 광고 페이지 등)

    1. 인스타그램, 카톡, 연락처 일부 유출

  • 설치 유도 방식 (위장 앱, 피싱 메시지 등)

    1. 게이 어플 형식 유도

4-2. 앱 내부 구조

이미지 1. RED BOY 악성 앱 기본정보
이미지 1. RED BOY 악성 앱 기본정보

4-2(1).RED BOY 악성 앱 기본정보

  • 8.85MB로 비교적 작은 용량인데도 권한 요구가 많을 가능성이 있어, 정상 앱보다는 악성 행위 삽입 가능성이 의심됨.

  • “RED BOY”어플의 내부 식별값이 임시 생성된 형태로 신뢰성이 낮음.

4-2(2).RED BOY 악성 앱 안드로이드 인증 여부 확인

이미지 2. RED BOY 악성 앱 안드로이드 인증서
이미지 2. RED BOY 악성 앱 안드로이드 인증서

  • 이 앱은 공식 인증을 거치지 않았으며, 인증서가 비정상적(cn 반복, serial=1) → 피싱 악성 앱 가능성이 매우 높음.

4-2(3).RED BOY 악성 앱 권한 및 액티비티

이미지 3. RED BOY 악성 앱 권한 및 액티비티
이미지 3. RED BOY 악성 앱 권한 및 액티비티

악성 앱 권한

  • 연락처·SMS·위치·저장소·전화 등 민감 권한을 광범위하게 요구

  • 저장소 전체 접근(MANAGE_EXTERNAL_STORAGE), 문자 읽기(READ_SMS), 앱 설치 요청(REQUEST_INSTALL_PACKAGES) 은 정상 앱에서는 거의 필요 없는 권한이라 악성 앱으로 의심 가능하다.

이 권한들은 몸캠피싱 악성 앱이 흔히 요구하는 조합입니다.

Activities (주요 실행 화면/기능)

  • com.app.hqinfo.SplashActivity

  • com.app.hqinfo.LoginActivity

  • com.app.hqinfo.FirstActivity

  • com.app.hqinfo.MainActivity

→ 이 앱의 주요 실행 화면은 겉으로는 정상 앱·로그인·업데이트 UI처럼 보이지만, 실제 기능은 권한 탈취 + 정보 업로드 + 추가 감염을 위한 악성 구조로 설계되어 있음.

4-2(4).RED BOY 악성 앱 서비스 및 URL 목록

이미지 4. RED BOY 악성 앱 서비스 및 URL 목록
이미지 4. RED BOY 악성 앱 서비스 및 URL 목록

  • com.amap.api.location.APSService
    → 중국 지도 서비스(가오더맵, Amap)의 위치 추적 관련 서비스. 위치 좌표 수집·전송 기능을 담당함.

  • com.app.hqinfo.NetPutDataService
    → 앱 이름과 달리 정체 불명(공식 문서 없음). 네트워크로 데이터를 전송(Net Put Data)하는 역할일 가능성이 높음. 악성 앱일 경우, 이 서비스가 개인정보를 외부 서버로 전송하는 기능일 수 있음.

“서비스 개수가 적다”는 건 기능이 단순한 게 아니라, 일부러 최소한만 등록해 숨겨놓은 악성 앱일 수 있다는 신호

4-2(5).RED BOY 악성 앱 리소스와 코드 구성 요소

RED BOY 악성 앱 리소스와 코드 구성 요소

  1. XML/이미지 비중이 매우 커서, 플레이어·채팅 등 정상 UI로 위장하기 쉬움.

  2. MessageBodyReader/Writer와 코루틴 구성이 있어 외부 서버와의 지속 통신 구조가 명확함.

  3. DEX 2개로 핵심 악성 로직을 압축했을 가능성(권한·서비스와 결합 시 효과적).

5. 사용자 대응 가이드

분석한 내용을 바탕으로 사용자 대응 가이드를 제시한다.

Mitre Att&ck에서 사용자가 제어할 수 있는 각 단계를 기반으로 사용자가 주의할 내용과 악성앱 실행 시 취할 수 있는 조치를 제시했다.

  1. 의심스러운 링크 클릭 금지

인터넷을 사용하면서 접하는 링크 중에는 피싱이나 악성 코드를 포함하고 있는 경우가 있다.

이러한 링크는 이메일, 문자 메시지, 소셜 미디어, 심지어 친구나 지인으로부터 받은 것일지라도 의심스러운 경우 클릭을 피해야 한다.

특히, 앱을 다운로드할 때는 항상 공식 앱 스토어를 이용하고, 공식 스토어가 아닌 곳에서 제공하는 앱은 설치하지 않도록 한다.

공식 스토어 외부에서 제공되는 앱은 검증되지 않았을 가능성이 높으며, 악성 코드가 포함될 위험이 있다.

  1. 최신 안드로이드 버전 업데이트 유지

구버전의 안드로이드 운영 체제는 보안 취약점을 포함하고 있을 수 있다. 이러한 취약점은 공격자가 악성 행위를 수행하기 위해 악용할 수 있다.

따라서, 안드로이드 기기를 항상 최신 버전으로 업데이트하는 것이 중요하다.

시스템 업데이트는 보안 패치 및 새로운 보안 기능을 제공하여 기기와 데이터를 보호할 수 있다.

  1. 주기적 미사용 앱 삭제

스마트폰에 설치되어 있지만 사용하지 않는 앱들은 보안 위험을 증가시킬 수 있다.

이러한 앱들은 종종 업데이트되지 않아 새로운 보안 취약점에 노출될 수 있다.

주기적으로 기기를 검토하고 더 이상 사용하지 않는 앱을 삭제함으로써, 불필요한 보안 위험을 줄일 수 있다.

  1. 앱 권한 부여 관리

앱을 설치하거나 사용할 때 요구되는 권한을 신중하게 검토해야 한다.

많은 앱들이 기능 실행에 필요한 것 이상의 권한을 요청할 수 있으며, 이는 사용자의 개인정보와 보안에 위험을 초래할 수 있다.

예를 들어, 플래시라이트 앱이 연락처 접근 권한을 요구하는 경우, 이는 의심스러운 요구로 간주될 수 있다. 반드시 필요한 권한만 허용하여 사용해야한다.

안드로이드 단말의 설정 메뉴에서 앱 권한을 관리할 수 있으며, 사용자는 각 앱에 부여된 권한을 확인하고 필요하지 않은 권한은 비활성화할 수 있다.

이미 설치된 앱에 대해서도 주기적으로 검토하는 것을 권장한다.

  1. 단말기의 비정상 동작 감지 시 전문가 상담

기기가 평소와 다르게 느려지거나 예상치 못한 방식으로 동작하는 경우, 이는 악성 앱의 영향일 수 있다.

이러한 증상이 나타나면 기기를 전문가에게 검사해야 한다.

전문가는 기기의 보안 상태를 확인하고 필요한 경우 악성 코드 제거나 기타 보안 조치를 취할 수 있다.

몸캠피싱 악성 앱 [FILEM.apk] 분석을 마치며, 낯선 이가 공유하는 앱을 함부로 다운받지 않도록 당부의 말씀을 드립니다.

이상, 사이버 범죄 · 몸캠피싱 대응 전문 기업 아크링크였습니다.

도움이 필요하시면 언제든 연락 바랍니다.

Towards Safety, Towards Freedom.

안전한 디지털 환경과 더 나은 내일을 연결합니다.

몸캠피싱·딥페이크 악성 앱 분석은? : 닥터피싱

몸캠피싱·딥페이크 악성 앱 전문 분석 플랫폼 : 닥터피싱
몸캠피싱·딥페이크 악성 앱 전문 분석 플랫폼 : 닥터피싱

*이미지를 클릭하시면 닥터피싱 사이트로 연결됩니다.

Share article
Subscribe to our newsletter.

주식회사 아크링크 | 사업자 등록번호: 378-88-03382 | TEL: 1666-5706 | E-Mail : contact@arklink.co.kr

RSS·Powered by Inblog