몸캠피싱 악성 애플리케이션
QFILE(Qspace)분석 자료
최근 다양한 몸캠피싱 해킹 앱이 등장하면서, 피해자들을 상대로 한 휴대폰 해킹 협박과 몸캠피싱 유포 협박 범죄가 급증하고 있습니다. 본 문서는 악성앱 QFILE(Qspace)에 대한 구조·수법·대응을 정리해 업로드 하였습니다.
🎭 피싱 수법 패턴
랜덤채팅·트위터에서 1차 접촉라인(Line)으로 2차 유도공식 앱처럼 보이는 URL 전달·설치 유도
초대코드 입력 및 권한 허용 유도 → 휴대폰 해킹 협박 본격화
이 과정에서 연락처 해킹, 주소록 해킹으로 주변인 유포 협박을 진행하는 전형적인 몸캠피싱 유포 협박 수법을 보입니다.
📱악성 애플리케이션 아이콘
📺악성 애플리케이션 실행화면
📃악성 애플리케이션 다운 URL
🔎 QFILE(Qspace) 악성앱 주요 특징
애플리케이션 이름 | QFILE(Qspace) |
호환 기기 | 안드로이드,아이폰 |
가해자 활동 범위 | 트위터,랜덤채팅,라인 |
탈취 개인정보 | 연락처,휴대폰 정보, 갤러리, 외부저장소 |
애플리케이션 특징 | 특정 초대코드를 통한 휴대폰 권한 탈취 |
권한목록 | ▶ 휴대폰 정보 ▶저장소(갤러리) ▶휴대폰 상태 ▶연락처 |
🌐 서버 분석 요약
서버 IP: 107.148.xxx.121 / 107.148.xxx.99 (중국계 서버 추정)
운영 특징: 특정 프레임워크를 개조해 사용, Android/iOS admin UI가 동일하지만 서로 다른 서버를 운용
초대코드 매칭: 서버가 생성한 코드로 1:1 피해자 매칭 → 해당 코드가 아닐 경우 데이터 수집 불가
| 안드로이드 | 아이폰 |
개인정보 이동 서버 | 
| 
|
서버 IP | 107.148.xxx.121 | 107.148.xxx.99 |
서버 특징 | 특정 프레임 워크를 개조하여 사용하는 것으로 추측 |
해당 서버의 경우, 24년부터 존재하던 중국서버 |
안드로이드와 아이폰 모두 admin 페이지의 UI 동일하나, 각 각 다른 서버를 사용 |
<서버 내부>
※ 하단의 이미지들은 특정 프레임워크에서 배포하고 있는 공식적인 admin 페이지 입니다.
현재 가해자의 서버를 직접적으로 확인하는 것은 국내법 상 불법이기에 내부를 확인할 수는 없습니다.
따라서, 하단에 첨부한 사진은 ‘일반적인’ 중국 프레임워크의 admin 페이지 입니다.
<피싱 수법>
일반적으로 가해자는 중국어와 한국어 모두를 사용할 줄 아는 ‘조선족’일 가능성이 큽니다.
해당 가해자들은 각종 랜덤채팅과 트위터 등에서 활발하게 활동하고 있으며 주로 라인을 통한 2차 접촉으로 몸캠피싱 협박을 진행하고 있습니다.
일반적으로는 공식적인 앱처럼 보이는 URL(링크)를 전송하여 피해자의 휴대폰 기종에 맞도록(안드로이드,아이폰) 다운을 유도하고 특정 초대코드를 알려주며 휴대폰 권한 허용을 통한 데이터 탈취를 진행하고 있습니다.
해당 서버는 일반적인 서버가 아닌, 자체적으로 프레임 워크를 개조하여 사용하는 것으로 추측 됩니다.
가해자측에서 안내하는 “초대코드”를 서버에서 생성하여 1:1 매칭이 되도록 만든 것이며, 서버에서 생성 된 특정 초대코드가 아니면 해당 서버로 데이터가 전송 되지 않습니다.
따라서, 가해자측은 여러 데이터들이 서버로 들어오는 혼선을 막기 위함과 피해자를 특정하기 위해 1:1 매칭 초대코드를 사용하는 것 같습니다.
해당 서버의 데이터 전송에 우회 방법은 여러가지가 있으나, 현재로서는 국내법상 법적인 부분으로 문제가 될 수 있기에 작업에는 높은 기술력이 필요로 한다 생각됩니다.
몸캠피싱 악성 애플리케이션
QFILE(Qspace)분석 자료
최근 다양한 몸캠피싱 해킹 앱이 등장하면서, 피해자들을 상대로 한 휴대폰 해킹 협박과 몸캠피싱 유포 협박 범죄가 급증하고 있습니다. 본 문서는 악성앱 QFILE(Qspace)에 대한 구조·수법·대응을 정리해 업로드 하였습니다.
🎭 피싱 수법 패턴
랜덤채팅·트위터에서 1차 접촉라인(Line)으로 2차 유도공식 앱처럼 보이는 URL 전달·설치 유도
초대코드 입력 및 권한 허용 유도 → 휴대폰 해킹 협박 본격화
이 과정에서 연락처 해킹, 주소록 해킹으로 주변인 유포 협박을 진행하는 전형적인 몸캠피싱 유포 협박 수법을 보입니다.
📱악성 애플리케이션 아이콘
📺악성 애플리케이션 실행화면
📃악성 애플리케이션 다운 URL
https://ttaxxxxx19.com
🔎 QFILE(Qspace) 악성앱 주요 특징
애플리케이션 이름
QFILE(Qspace)
호환 기기
안드로이드,아이폰
트위터,랜덤채팅,라인
탈취 개인정보
연락처,휴대폰 정보, 갤러리, 외부저장소
애플리케이션 특징
특정 초대코드를 통한 휴대폰 권한 탈취
권한목록
▶ 휴대폰 정보
▶저장소(갤러리)
▶휴대폰 상태
▶연락처
🌐 서버 분석 요약
서버 IP: 107.148.xxx.121 / 107.148.xxx.99 (중국계 서버 추정)
운영 특징: 특정 프레임워크를 개조해 사용, Android/iOS admin UI가 동일하지만 서로 다른 서버를 운용
초대코드 매칭: 서버가 생성한 코드로 1:1 피해자 매칭 → 해당 코드가 아닐 경우 데이터 수집 불가
안드로이드
아이폰
개인정보 이동 서버
서버 IP
107.148.xxx.121
107.148.xxx.99
서버 특징
특정 프레임 워크를 개조하여 사용하는 것으로 추측
해당 서버의 경우, 24년부터 존재하던 중국서버
안드로이드와 아이폰 모두 admin 페이지의 UI 동일하나,
각 각 다른 서버를 사용
<서버 내부>
※ 하단의 이미지들은 특정 프레임워크에서 배포하고 있는 공식적인 admin 페이지 입니다.
현재 가해자의 서버를 직접적으로 확인하는 것은 국내법 상 불법이기에 내부를 확인할 수는 없습니다.
따라서, 하단에 첨부한 사진은 ‘일반적인’ 중국 프레임워크의 admin 페이지 입니다.
<피싱 수법>
일반적으로 가해자는 중국어와 한국어 모두를 사용할 줄 아는 ‘조선족’일 가능성이 큽니다.
해당 가해자들은 각종 랜덤채팅과 트위터 등에서 활발하게 활동하고 있으며 주로 라인을 통한 2차 접촉으로 몸캠피싱 협박을 진행하고 있습니다.
일반적으로는 공식적인 앱처럼 보이는 URL(링크)를 전송하여 피해자의 휴대폰 기종에 맞도록(안드로이드,아이폰) 다운을 유도하고 특정 초대코드를 알려주며 휴대폰 권한 허용을 통한 데이터 탈취를 진행하고 있습니다.
해당 서버는 일반적인 서버가 아닌, 자체적으로 프레임 워크를 개조하여 사용하는 것으로 추측 됩니다.
가해자측에서 안내하는 “초대코드”를 서버에서 생성하여 1:1 매칭이 되도록 만든 것이며, 서버에서 생성 된 특정 초대코드가 아니면 해당 서버로 데이터가 전송 되지 않습니다.
따라서, 가해자측은 여러 데이터들이 서버로 들어오는 혼선을 막기 위함과 피해자를 특정하기 위해 1:1 매칭 초대코드를 사용하는 것 같습니다.
해당 서버의 데이터 전송에 우회 방법은 여러가지가 있으나, 현재로서는 국내법상 법적인 부분으로 문제가 될 수 있기에 작업에는 높은 기술력이 필요로 한다 생각됩니다.