IT OCR 악용 트로이 목마 ‘스파크캣’ 발견… 암호화폐 지갑 노려

카스퍼스키 위협 리서치 센터가 2024년 3월부터 앱스토어와 구글 플레이에서 활동 중인 데이터 탈취 트로이 목마 ‘스파크캣(SparkCat)’을 발견했다. 이는 광학 문자 인식(OCR) 기능을 악용한 악성코드가 앱스토어에서 발견된 최초 사례다. 스파크캣은 구글 ‘ML Kit’ 라이브러리 기반 OCR 플러그인을 이용해 이미지 갤러리를 스캔하고, 암호화폐 지갑의 복구 문구(Recovery Phrase)를 포함한 스크린샷을 탈취한다. 비밀번호 등 다른 민감한 데이터도 추출할 수 있다. 카스퍼스키는 해당 악성 애플리케이션을 구글 및 애플에 보고했다. 스파크캣은 감염된 정상 애플리케이션과 미끼 애플리케이션(Lure App)을 통해 확산된다. 감염된 앱 유형은 메신저, AI 비서, 음식 배달, 암호화폐 관련 앱 등 다양하다. 일부 앱은 공식 플랫폼에서 제공되며, 비공식 출처에서도 유포되고 있다. 현재 구글 플레이에서 감염된 앱들은 24만 2천 회 이상 다운로드됐다. 이 악성코드는 아랍에미리트(UAE), 유럽, 아시아 사용자를 주요 표적으로 삼고 있다. 스파크캣은 이미지 갤러리를 스캔하며 중국어, 일본어, 한국어, 영어, 체코어, 프랑스어, 이탈리아어, 폴란드어, 포르투

• 구서경 기자
• 2025-02-10 11:24