카스퍼스키, 앱마켓 보안 우회하는 '변종 악성코드' 발견

글로벌 사이버 보안 기업 카스퍼스키(한국지사장 이효은)가 앱스토어와 구글 플레이 스토어의 보안을 우회해 암호화폐를 탈취할 수 있는 악성코드를 발견했다. 카스퍼스키는 자사 위협 연구팀이 앱스토어와 구글 플레이 스토어에서 새로운 스파크캣(SparkCat) 트로이목마 변종을 확인했다고 27일 밝혔다. 암호화폐 탈취 악성코드가 처음 발견돼 양 플랫폼에서 제거한 이후 1년 만에 변종 악성코드를 발견한 것이다. 해당 트로이목마는 정상 앱처럼 위장해 사용자 사진 갤러리를 스캔하고 암호화폐 지갑 복구 문구를 탐색하는 것으로 알려졌다. 또한 감염된 정상 앱을 통해 유포되는데, 기업용 메신저와 음식 배달 앱이 포함됐다. 카스퍼스키 전문가들은 앱스토어에서 2개, 구글 플레이 스토어에서 1개의 이같은 감염 앱을 확인했다고 밝혔다. 해당 악성코드는 현재 제거된 상태다. 카스퍼스키 텔레메트리 데이터에 따르면 스파크캣에 감염된 앱은 제3자 유통 경로를 통해서도 배포되고 있다. 일부 웹페이지는 아이폰에서 접속할 경우 앱스토어를 모방하는 형태로 위장돼 있다. 안드로이드용 업데이트된 스파크캣 변종은 감염된 기기의 이미지 갤러리에서 일본어, 한국어, 중국어 특정 키워드가 포함된 스크린샷을 탐색한다. 이를 통해 이번 캠페인이 주로 아시아 지역 사용자들의 암호화폐 자산을 표적으로 하고 있음을 확인했다. 반면 iOS 변종은 영어로 작성된 암호화폐 지갑 니모닉 문구를 탐색하는 방식을 사용한다. 이로 인해 iOS 변종은 지역과 관계없이 더 넓은 사용자에게 영향을 미칠 수 있다. 카스퍼스키는 확인된 악성 애플리케이션을 구글과 애플에 신고했다. 카스퍼스키 세르게이 푸잔 악성코드 분석가는 "업데이트된 SparkCat 변종은 특정 상황에서 스마트폰 갤러리 내 사진 접근 권한을 요청한다. 이는 초기 버전의 트로이목마와 동일한 방식"이라며 "이 악성코드는 광학 문자 인식 모듈을 활용해 저장된 이미지 내 텍스트를 분석한다. 이후 스틸러가 관련 키워드를 발견하면 해당 이미지를 공격자에게 전송한다. 현재 샘플과 기존 샘플의 유사성을 고려할 때, 동일한 개발자가 새로운 변종을 만든 것으로 판단된다"고 설명했다. 이효은 카스퍼스키 한국지사장은 "한국의 높은 스마트폰 보급률과 활발한 암호화폐 사용으로 인해 한국 사용자들은 스파크캣과 같은 진화하는 모바일 위협의 주요 표적이 되고 있다"며 "악성코드는 정교한 난독화 기술을 통해 공식 앱 스토어의 검증을 점점 더 잘 회피하고 있어, 개인 자산이 위험에 처하고 있다"고 강조했다. 이 지사장은 또한 "사용자들은 경계를 늦추지 말고, 민감한 정보를 눈에 띄는 곳에 저장하지 않으며, 이러한 은밀하고 특정 지역을 겨냥한 사이버 공격으로부터 보호하기 위해 전문적인 모바일 보안 솔루션을 도입해야 한다"고 말했다.