앱스토어·구글플레이 보안 우회…암호화폐 탈취 `스파크캣` 변종 발견 - 디지털데일리

앱스토어·구글플레이 보안 우회…암호화폐 탈취 '스파크캣' 변종 발견 [디지털데일리 김보민기자] 앱 마켓 보안을 우회해 암호화폐를 탈취하는 악성코드 변종이 발견됐다. 글로벌 사이버 보안 기업 카스퍼스키는 모바일 앱 마켓에서 신규 '스파크캣(SparkCat)' 트로이목마 변종을 확인했다고 27일 밝혔다. 암호화폐 탈취 악성코드가 공식 앱 마켓인 앱스토어와 구글플레어에서 발견됐다가 제거된 후 약 1년 만이다. 이번에 발견된 변종은 정상 애플리케이션으로 위장해 사용자 기기 사진 갤러리를 스캔하고, 암호화폐 지갑 복구 문구(니모닉)를 탐색하는 방식으로 작동한다. 기업용 메신저와 음식 배달 앱 등으로 위장한 감염 앱을 통해 유포된다는 특징이 있다. 카스퍼스키는 앱스토어에서 2개, 구글플레어에서 1개 감염 사례를 확인했다. 해당 앱들은 현재 모두 삭제됐다. 카스퍼스키 텔레메트리 분석에 따르면 감염 앱은 제3자 유통 경로를 통해서도 확산되고 있고 일부 웹사이트는 아이폰 이용자가 접속할 경우 앱스토어와 유사한 화면을 띄워 사용자 설치를 유도하는 것으로 나타났다. 플랫폼별 공격 방식에도 차이가 확인됐다. 안드로이드용 변종은 감염된 기기 갤러리에서 일본어·한국어·중국어 키워드가 포함된 스크린샷을 집중 탐색해 아시아 지역 사용자를 주요 표적으로 삼고 있는 것으로 분석됐다. 반면 iOS 변종은 영어로 작성된 지갑 복구 문구를 탐색해 지역과 관계없이 보다 광범위한 사용자에게 영향을 미칠 가능성이 있다. 공격 기술도 고도화된 것으로 확인됐다. 최신 안드로이드 변종은 기존 대비 다층 난독화 구조를 적용하고 코드 가상화, 크로스 플랫폼 프로그래밍 언어 사용 등 고급 기법을 활용한다. 이는 모바일 악성코드에서는 비교적 드문 사례로 평가된다. 카스퍼스키는 해당 악성코드가 사진 접근 권한을 요청한 뒤 광학문자인식(OCR) 모듈을 통해 이미지 내 텍스트를 분석하고, 특정 키워드가 발견될 경우 관련 이미지를 공격자에게 전송하는 방식으로 작동한다고 설명했다. 기존 샘플과 유사성을 고려할 때 동일 개발자가 제작했을 가능성이 높다는 분석이다. 카스퍼스키는 "스파크캣은 지속적으로 진화하는 모바일 위협으로 공격자들이 난독화 수준을 높여 공식 앱 스토어 심사를 우회하고 있다"며 "스마트폰 보안 솔루션 사용과 함께 민감한 정보를 기기 내에 노출된 형태로 저장하지 않는 등 각별한 주의가 필요하다"고 강조했다.