✅ 보고서 제목: 보안 문서 뷰어로 위장한 DocSwap 악성코드에 대한 상세 분석

S2W 위협 인텔리전스센터에서 북한 배후 APT 그룹의 악성코드로 추정되는 “문서열람 인증 앱” 악성코드를 VirusTotal에서 헌팅하여 분석을 진행한 내용에 대한 보고서를 발행했습니다.

북한 배후 공격 그룹과 연관된 악성코드를 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.

✅ 보고서 요약:

1) 위협 헌팅

2025년 1월 21일, S2W의 위협 연구 및 인텔리전스 센터 Talon은 북한 배후 APT 그룹의 악성코드로 추정되는 “문서열람 인증 앱” 악성코드를 VirusTotal에서 헌팅하여 분석을 진행했습니다.

2) 악성코드

해당 악성앱은 2024-12-13 최초 서명되었으며, 파일 내에 존재하는 “security.db” 파일을 XOR 연산을 통해 복호화하고 DEX 파일을 동적으로 로딩하여 최종적으로 키로깅 및 악성 명령 실행 기능을 수행합니다.

3) 주요 기능

해당 악성앱은 기존에 확인되지 않았던 유형의 악성앱으로, 문서(Document) 열람 인증 앱을 사칭하고, C2 주소에 CoinSwap을 사칭한 피싱 페이지가 발견된 점에서 DocSwap으로 명명했습니다.

4) 위협 주체 식별

S2W 위협 연구 및 정보 센터 Talon은 식별되지 않은 위협 그룹을 별도로 관리하고 있으며, 그중 북한 배후 공격 그룹은 puNK(Partially Unidentified North Korean threat actor)라는 이름으로 추적하고 DocSwap 악성코드를 사용하는 위협 행위자는 puNK-004로 명명했습니다.

- (2025-02-21) DocSwap 악성코드가 소켓 통신을 수행하는 IP에서 CoinSwap을 사칭한 피싱 페이지가 확인되었습니다.

- (2025-02-27) C2 주소 접속 시 네이버 파비콘 및 “Million OK !!!!” 가 표시되어 Kimsuky 그룹과의 공통점이 일부 확인되었습니다.

- Package Name: com.security.library

- App Name: 문서열람 인증 앱

- MD5: 3ccfe58b8e0b5ca96cac4e9394567515

- SHA256: bf134495142d704f9009a7d325fb9546db407971ade224e3718a84254e9ff03e

악성앱 아이콘 이미지는 S2W tech 블로그에 공개한 영문 보고서 전문(https://bit.ly/4ofYIiO)을 통해 확인하실 수 있습니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

- 2025년 1월 21일, “문서열람 인증 앱” 이름의 악성 앱을 식별하였으며, 기존에 확인되지 않았던 유형의 악성앱으로 문서(Document) 열람 인증 앱을 사칭하고, C2 주소에 CoinSwap을 사칭한 피싱 페이지가 발견된 점에서 DocSwap으로 명명했습니다.

- 해당 악성 앱은 접근성 서비스를 통해 키로깅을 수행하고, C2 서버와의 소켓 통신을 통해 카메라 녹화, 마이크 녹음, 파일 다운로드 및 삭제 등 정보 탈취 기능을 수행했습니다.

- S2W 위협 연구 및 정보 센터 Talon은 식별되지 않은 위협 그룹을 별도로 관리하고 있으며, 그 중 북한 배후 공격 그룹은 puNK(Partially Unidentified North Korean threat actor)라는 이름으로 추적하고 DocSwap 악성코드를 사용하는 위협 행위자는 puNK-004로 명명했습니다.

- DocSwap 악성앱은 문서 열람 인증 앱이라는 이름으로 위장하여 사용자로부터 설치 및 클릭을 유도하고 있어, 출처가 불확실한 악성 앱을 다운로드하도록 유도하는 링크 또는 메일 내 첨부 파일을 실행하지 않도록 주의가 필요합니다.

- 보다 구체적인 분석 및 조치 방안 내용은 아래 링크를 통해 보고서 전문을 확인해 주세요.

🧑‍💻 보고서 작성자: S2W TALON (2025-03-14 기준)

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.