logo
|
Blog
    👾악성앱 분석👾

    Purplay2026 악성앱 분석 — 이름은 달라도 같은 서버로 모이는 변종의 정체

    닥터피싱의 Purplay2026(Purplay) 실측 분석 글. 정식 마켓 밖에서 배포된 악성 평가 앱의 요구 권한과 외부 통신 흔적을 정리하고, 이름만 다른 변종이 같은 서버·인프라로 모이는 점을 통해 이름이 아니라 통신·내부 흔적으로 계열을 판별하는 관점을 제시한다.
    dr.phishing's avatar
    dr.phishing
    Jul 05, 2026
    어두운 배경 오른쪽에 여러 색의 앱 아이콘들이 청록색 빛줄기를 따라 가운데 하나의 서버로 이어져 있고, 왼쪽에 'Purplay2026 변종 악성 앱 실측 분석' 제목이 적힌 커버 이미지
    Contents
    Purplay2026 악성앱이란 무엇인가?Purplay2026이 요구하는 권한은?이름은 Purplay여도 결국 같은 곳으로 모인다 — 통신 흔적은?내 폰에 Purplay2026이 있다면 확인·대응닥터피싱은 이런 변종 악성앱을 어떻게 분석하나자주 묻는 질문 (FAQ)Purplay2026을 받기만 하고 실행하지 않았는데 위험한가요?이름이 Purplay2026이 아니라 조금 다른데 같은 악성앱일 수 있나요?앱을 삭제하면 유출된 사진도 사라지나요?

    모르는 설치 파일 하나를 열었을 뿐인데 사진과 연락처가 빠져나갔을까 봐 밤잠을 설치고 있다면, 먼저 이 말부터 전합니다.
    당신의 잘못이 아닙니다. 정교하게 만들어진 미끼는 누구든 속게 되어 있습니다.

    Purplay2026은 정식 마켓 밖에서 퍼진 설치 파일로,
    닥터피싱 분석에서 악성 앱일 가능성이 매우 높다고 평가된 앱입니다.
    그런데 이 글에서 더 중요하게 다룰 것은 '이름'이 아닙니다.
    Purplay라는 이름은 얼마든지 바뀔 수 있고,
    실제로 이름만 다른 변종이 여럿 존재합니다.
    이름을 쫓는 대신 통신 흔적과 내부 구조로 같은 계열을 알아보는 관점을 짚겠습니다.

    Purplay2026 악성앱이란 무엇인가?

    어두운 회로 기판을 위에서 내려다본 지형에 정돈된 중앙 구획 하나가 있어, 정식 마켓 밖에서 배포된 변종 악성앱 하나를 시스템 속 한 구역처럼 표현한 이미지

    Purplay2026은 정식 앱 마켓이 아니라 출처를 알 수 없는 설치 파일(APK)로 퍼진 앱으로,
    닥터피싱 분석에서 '악성 앱일 가능성이 매우 높다'고 평가됐습니다.
    파일명은 260610_Purplay2026.apk, 용량은 13.28MB에 불과합니다.
    요구하는 권한 범위에 비하면 지나치게 가벼운데, 이는 실제 기능은 빈약하고 개인정보를 노리는 미끼용 앱일 때 나타나는 신호입니다.

    더 중요한 점은 이 앱이 홀로 존재하지 않는다는 것입니다.
    Purplay2026은 파일 이름과 화면에 뜨는 표시 이름, 서명 명의만 바꿨을 뿐 내부 구조가 같은 변종 유형에 속합니다.
    겉에 보이는 이름이 Purplay든 전혀 다른 무엇이든, 같은 제작 도구로 찍어낸 변종이 여럿 존재한다는 뜻입니다.
    그래서 이름 하나로 안전 여부를 판단하면 같은 계열을 그대로 놓치게 됩니다.

    Purplay2026이 요구하는 권한은?

    중앙 구획에서 여러 갈래 배선이 사방의 자원 구역으로 뻗어 관문을 통과하며 지점마다 붉게 빛나, 앱이 과도하게 많은 곳에 접근하는 권한을 부감으로 표현한 이미지

    Purplay2026은 앱 이름과 어울리지 않게 카메라·사진·연락처 같은 민감한 권한을 한꺼번에 요구하는데,
    이 조합 자체가 첫 번째 경고 신호입니다.
    유출되면 곧바로 협박에 쓰일 수 있는 이 항목들이 권한 목록의 중심에 있습니다.

    요구 권한

    이 앱에 필요한가

    왜 위험한가

    카메라

    불명확

    사진·영상 촬영과 QR 인식에 접근

    사진·미디어 접근

    불필요해 보임

    갤러리 속 사진이 통째로 빠져나갈 수 있음

    저장 파일 읽기·쓰기

    불필요해 보임

    내려받은 파일·문서까지 열람

    연락처 읽기

    불필요

    지인 명단 확보 후 협박 압박에 악용

    설치앱 전체 목록 조회

    불필요

    어떤 앱을 쓰는지 파악(QUERY_ALL_PACKAGES)

    QR코드 스캔

    불명확

    카메라 상시 접근 명분 확보

    알림 / 네트워크·와이파이 상태

    부분적

    동작 상태 확인과 외부 전송 준비

    기억할 것은 단순히 내려받아 둔 상태와, 실행해서 권한을 허용한 상태는 다르다는 점입니다.
    위험이 현실이 되는 순간은 권한을 허용하는 단계입니다.
    이미 사진과 연락처 권한을 넘겼다면,
    확보된 사진이 합성·딥페이크 협박물에 악용될 수 있어 특히 주의가 필요합니다.

    이름은 Purplay여도 결국 같은 곳으로 모인다 — 통신 흔적은?

    이름이 다른 여러 구획에서 뻗은 빛줄기가 모두 가장자리의 하나의 외부 서버 노드로 모여 붉게 맥동해, 이름만 다른 변종들이 같은 서버로 통신하는 정체를 표현한 이미지

    이름은 Purplay여도, 이름만 다른 변종들은 결국 같은 서버와 같은 통신 인프라로 모입니다.
    그래서 계열을 판별하는 기준은 '이름'이 아니라 '어디와 어떻게 통신하는가'입니다.

    Purplay2026 분석에서는 특정 외부 IP 주소와, 중국계 IP·위치 조회 서비스, 그리고 akka.2026svip.pics·index.golgol.eu.org처럼 출처가 불분명한 도메인으로 이어지는 흔적이 확인됐습니다.
    내부 식별자인 패키지 이름은 com.zxdzd.xa.mubiao였고,
    ueqytc.tqfkkfu.uuwhdhc.jztzqiov 같은 의미 없는 무작위 문자열도 함께 쓰였습니다.
    정상 앱에서는 보기 어려운 구성입니다.

    핵심은 이것입니다.
    파일 해시와 인증서, 표시 이름은 변종마다 다르게 찍어낼 수 있지만,
    내부 패키지명·권한 조합·연결되는 외부 서버는 같은 자리에 남습니다. 이름만 다른 여러 앱이 같은 외부 IP, 같은 조회 서비스, 같은 출처불명 도메인으로 향한다면 그것은 한 계열이라는 신호입니다.
    배후를 특정 국가나 조직으로 단정할 수는 없지만,
    통신 흔적이 서로를 하나로 묶어 준다는 사실만은 분명합니다.
    이름을 쫓지 말고 통신과 내부 흔적을 보라는 이유가 여기에 있습니다.

    내 폰에 Purplay2026이 있다면 확인·대응

    내 폰에 Purplay2026이 설치돼 있는지 확인할 때는, 기억하는 이름과 정확히 같지 않아도 의심을 거두지 마십시오.
    변종은 화면에 다른 이름으로 뜰 수 있기 때문입니다.

    • ✔️ 설치한 기억이 없는 앱, 아이콘·이름이 어색한 앱이 있는지 앱 목록을 살핍니다.

    • ✔️ 최근 설치한 앱의 권한 설정에서 카메라·사진·연락처가 한꺼번에 허용돼 있는지 확인합니다.

    • ✔️ 정식 마켓이 아닌 링크나 설치 파일로 받은 앱이라면 특히 주의합니다.

    • ✔️ 데이터 사용 내역에서 낯선 앱이 계속 외부와 통신하는지 살핍니다.

    🚨 협박 메시지를 이미 받았다면 지금이 골든타임입니다.
    혼자 결정하기 전에 수사기관과 전문기관에 먼저 상담하세요.

    주의할 점이 있습니다.
    이미 빠져나간 사진·연락처를 '완전 삭제'하겠다고 단정하기는 누구도 어렵습니다.
    오히려 '완전 삭제'를 약속하는 업체는 2차 피해로 이어질 수 있으니 경계하세요.
    앱을 지웠다고 해서 이미 전송된 자료까지 사라지는 것은 아니라는 점도 기억하세요.

    닥터피싱은 이런 변종 악성앱을 어떻게 분석하나

    닥터피싱은 이런 변종 악성앱을 겉이름이 아니라 내부 패키지명·권한 조합·외부 통신 구조를 대조해 같은 계열인지 판별하는 분석 플랫폼입니다.
    Purplay2026처럼 이름만 바뀐 앱이 들어와도, 내부 패키지명과 권한 조합, 연결되는 외부 서버를 대조해 같은 계열인지 판별합니다.

    구체적으로는 설치 파일의 서명 명의(이 앱의 경우 중국 베이징 명의의 의미 없는 인증서 정보), 요구 권한, 외부 통신 흔적을 함께 살펴 민감정보를 노리는 악성 앱인지 평가합니다.
    Purplay2026은 사진·동영상, 전화번호, 연락처를 요구하는 정황이 뚜렷해 악성 가능성이 매우 높다고 판단됐습니다.
    닥터피싱은 악성앱 분석 전문 플랫폼이자 빠른 피해 회복을 돕는 곳으로,
    이름이 계속 바뀌는 변종의 공통 흔적을 모아 같은 계열을 알아보는 데 초점을 둡니다.

    자주 묻는 질문 (FAQ)

    Purplay2026을 받기만 하고 실행하지 않았는데 위험한가요?

    단순히 내려받은 상태와 실행해 권한을 허용한 상태는 다릅니다.
    위협이 현실이 되는 것은 앱을 실행해 카메라·사진·연락처 권한을 허용한 단계입니다.
    다만 출처가 불분명한 설치 파일은 실행하기 전에 삭제하는 편이 안전합니다.

    이름이 Purplay2026이 아니라 조금 다른데 같은 악성앱일 수 있나요?

    그럴 수 있습니다.
    이 유형은 파일명·표시 이름·서명만 바꾼 변종이 여럿입니다.
    이름이 달라도 내부 패키지명, 권한 조합, 연결되는 외부 서버가 겹치면 같은 계열로 볼 수 있습니다.
    그래서 이름이 아니라 통신·내부 흔적으로 확인하는 것이 안전합니다.

    앱을 삭제하면 유출된 사진도 사라지나요?

    아닙니다.
    앱을 지워도 이미 외부로 전송된 자료까지 사라지는 것은 아닙니다.
    '완전 삭제'를 장담하기는 누구도 어렵고,
    그렇게 약속하는 업체는 2차 피해 우려가 있으니 수사기관과 전문기관에 상담하는 편이 안전합니다.

    Share article
    Contents
    Purplay2026 악성앱이란 무엇인가?Purplay2026이 요구하는 권한은?이름은 Purplay여도 결국 같은 곳으로 모인다 — 통신 흔적은?내 폰에 Purplay2026이 있다면 확인·대응닥터피싱은 이런 변종 악성앱을 어떻게 분석하나자주 묻는 질문 (FAQ)Purplay2026을 받기만 하고 실행하지 않았는데 위험한가요?이름이 Purplay2026이 아니라 조금 다른데 같은 악성앱일 수 있나요?앱을 삭제하면 유출된 사진도 사라지나요?

    몸캠피싱 악성 앱 분석 플랫폼 닥터피싱

    RSS·Powered by Inblog