사이버 보안 기업 카스퍼스키의 위협 연구팀이 App Store와 Google Play에서 새로운 스파크캣(SparkCat) 트로이목마 변종을 확인했다고 밝혔다. 암호화폐 탈취 악성코드가 처음 발견돼 양쪽 플랫폼에서 제거된 이후 1년 만이다.
새로운 스파크캣 변종은 기업용 메신저와 음식 배달 앱 등 감염된 정상 앱을 통해 유포된다. 카스퍼스키 전문가들은 App Store에서 2개·Google Play에서 1개의 감염 앱을 확인했으며 해당 악성 코드는 현재 제거된 상태다. 카스퍼스키 텔레메트리 데이터에 따르면 스파크캣에 감염된 앱은 제3자 유통 경로를 통해서도 배포되고 있으며 일부 웹페이지는 아이폰 접속 시 앱스토어를 모방하는 형태로 위장돼 있다.
안드로이드용 업데이트된 스파크캣 변종은 감염된 기기의 이미지 갤러리에서 일본어·한국어·중국어 특정 키워드가 포함된 스크린샷을 탐색한다. 이번 캠페인이 주로 아시아 지역 사용자들의 암호화폐 자산을 표적으로 하고 있음을 보여준다. iOS 변종은 영어로 작성된 암호화폐 지갑 니모닉 문구를 탐색해 지역과 관계없이 더 넓은 사용자에게 영향을 미칠 수 있다. 안드로이드용 최신 변종은 코드 가상화와 크로스 플랫폼 프로그래밍 언어 사용 등 모바일 악성코드에서는 드물게 사용되는 고급 난독화 기법을 적용했다.
세르게이 푸잔 카스퍼스키 악성코드 분석가는 "이 악성코드는 광학 문자 인식 모듈을 활용해 저장된 이미지 내 텍스트를 분석하고 관련 키워드를 발견하면 해당 이미지를 공격자에게 전송한다"며 "다양한 사이버 위협으로부터 보호하기 위해 스마트폰 보안 솔루션을 사용해야 한다"고 강조했다.
드미트리 칼리닌 카스퍼스키 사이버 보안 전문가는 "공격자는 분석 회피를 위한 난독화 기법의 복잡성을 계속 높이며 공식 앱 스토어 심사 과정을 우회하고 있다"며 "코드 가상화와 크로스 플랫폼 프로그래밍 언어 사용 같은 기법은 모바일 악성코드에서는 매우 드문 사례로 공격자의 높은 기술 수준을 보여준다"고 말했다.
이효은 카스퍼스키 한국지사장은 "한국의 높은 스마트폰 보급률과 활발한 암호화폐 사용으로 한국 사용자들은 스파크캣과 같은 진화하는 모바일 위협의 주요 표적이 되고 있다"며 "민감한 정보를 눈에 띄는 곳에 저장하지 않고 전문적인 모바일 보안 솔루션을 도입해야 한다"고 당부했다.
이어 카스퍼스키는 암호화폐 지갑 시드 문구와 같은 민감 정보가 포함된 스크린샷을 갤러리에 저장하지 말 것을 권고했다. 또한 공식 앱 스토어에서 다운로드하더라도 항상 주의가 필요하다고 강조했다.
헬로티 구서경 기자 |
