카스퍼스키, 앱스토어와 구글플레이서 암호화폐 탈취 악성코드 확인해 - elec4

암호화폐 탈취 트로이목마 ‘스파크캣’ 변종 발견...구글과 애플에 신고·제거 완료 카스퍼스키(지사장 이효은)는 4월 27일, 카스퍼스키 위협 연구팀이 App Store와 Google Play에서 새로운 스파크캣(SparkCat) 트로이목마 변종을 확인했다고 밝혔다. 이는 암호화폐 탈취 악성코드가 처음 발견되어 양쪽 플랫폼에서 제거된 이후 1년 만이라는 설명이다. 해당 트로이목마는 정상 앱처럼 위장해 사용자 사진 갤러리를 스캔하고 암호화폐 지갑 복구 문구를 탐색한다고 업체 측은 전했다. 업체 측에 따르면, 새로운 SparkCat 변종은 감염된 정상 앱을 통해 유포된다. 기업용 메신저와 음식 배달 앱이 이에 포함된다. 카스퍼스키 전문가들은 App Store에서 2개, Google Play에서 1개의 감염 앱을 확인했으며, 해당 악성 코드는 현재 제거된 상태다. 카스퍼스키 텔레메트리 데이터에 따르면 SparkCat에 감염된 앱은 제3자 유통 경로를 통해서도 배포되고 있다. 일부 웹페이지는 아이폰에서 접속할 경우 앱스토어를 모방하는 형태로 위장돼 있다. 안드로이드용 업데이트된 SparkCat 변종은 감염된 기기의 이미지 갤러리에서 일본어, 한국어, 중국어 특정 키워드가 포함된 스크린샷을 탐색한다. 이를 통해 이번 캠페인이 주로 아시아 지역 사용자들의 암호화폐 자산을 표적으로 하고 있음을 확인했다. 반면 iOS 변종은 영어로 작성된 암호화폐 지갑 니모닉 문구를 탐색하는 방식을 사용한다. 이로 인해 iOS 변종은 지역과 관계없이 더 넓은 사용자에게 영향을 미칠 수 있다. 안드로이드용 최신 SparkCat 변종은 기존 버전 대비 다층 난독화 구조를 적용했으며, 코드 가상화와 크로스 플랫폼 프로그래밍 언어 사용과 같은 기법을 포함한다. 이러한 기술은 모바일 악성코드에서는 드물게 사용되는 고급 기법이라고 업체 측은 전했다. 카스퍼스키는 확인된 악성 애플리케이션을 Google과 Apple에 신고했다. 카스퍼스키 세르게이 푸잔 악성코드 분석가는 “업데이트된 SparkCat 변종은 특정 상황에서 스마트폰 갤러리 내 사진 접근 권한을 요청한다”며, “이는 초기 버전의 트로이목마와 동일한 방식이다. 이 악성코드는 광학 문자 인식 모듈을 활용해 저장된 이미지 내 텍스트를 분석한다”고 밝혔다. 이어, “이후 스틸러가 관련 키워드를 발견하면 해당 이미지를 공격자에게 전송한다”며, “현재 샘플과 기존 샘플의 유사성을 고려할 때, 동일한 개발자가 새로운 변종을 만든 것으로 판단되는만큼, 다양한 사이버 위협으로부터 보호하기 위해 스마트폰 보안 솔루션을 사용해야 한다”라고 강조했다. 카스퍼스키 드미트리 칼리닌 사이버 보안 전문가는 “SparkCat 악성코드는 지속적으로 진화하는 모바일 위협이다. 공격자는 분석 회피를 위한 난독화 기법의 복잡성을 계속 높이며, 이를 통해 공식 앱 스토어 심사 과정을 우회하고 있다”며, “또한 코드 가상화와 크로스 플랫폼 프로그래밍 언어 사용과 같은 기법은 모바일 악성코드에서는 매우 드문 사례로, 공격자의 높은 기술 수준을 보여준다”라고 말했다. 카스퍼스키 이효은 한국지사장은 “한국의 높은 스마트폰 보급률과 활발한 암호화폐 사용으로 인해, 한국 사용자들은 SparkCat과 같은 진화하는 모바일 위협의 주요 표적이 되고 있다”며, “악성코드는 정교한 난독화 기술을 통해 공식 앱 스토어의 검증을 점점 더 잘 회피하고 있어, 개인 자산이 위험에 처하고 있다”고 밝혔다. 이어, “사용자 여러분께서는 경계를 늦추지 말고, 민감한 정보를 눈에 띄는 곳에 저장하지 않으며, 이러한 은밀하고 특정 지역을 겨냥한 사이버 공격으로부터 보호하기 위해 전문적인 모바일 보안 솔루션을 도입해야 한다”라고 말했다.