앱스토어 뚫은 악성코드, 갤러리 털고 암호화폐 자산 노린다

애플·구글 보안 우회한 '스파크캣' 변종 발견

[파이낸셜뉴스] 스마트폰 갤러리를 뒤져 암호화폐 지갑 복구 문구를 탈취하는 악성코드가 공식 앱스토어를 뚫고 다시 등장했다. 겉보기엔 평범한 메신저·배달 앱이 사용자 모르게 사진 정보를 뒤져 암호화폐 자산을 유출할 수 있다는 우려가 제기된다.

28일 카스퍼스키 위협 연구팀은 애플 앱스토어와 구글 플레이스토어에서 새로운 '스파크캣(SparkCat)' 변종 악성코드를 발견했다고 밝혔다.

이 악성코드는 정상 앱으로 위장해 사용자 기기에 침투한 뒤, 사진 갤러리를 스캔해 암호화폐 지갑 복구 문구(니모닉)를 찾아 탈취하는 방식으로 작동한다. 암호화폐를 겨냥한 모바일 악성코드가 공식 앱스토어에서 처음 발견되고 양쪽 플랫폼에서 제거된 이후 1년 만이다.

스파크캣은 기업용 메신저와 음식 배달 앱 등으로 위장해 유포됐다. 카스퍼스키는 애플 앱스토어에서 2건, 구글 플레이에서 1건의 감염 앱을 확인했으며 현재는 해당 악성코드가 모두 삭제된 상태라고 설명했다.

안드로이드 스파크캣은 스마트폰 갤러리 내 스크린샷을 뒤져 한국어·일본어·중국어 특정 키워드를 탐색한다. 주로 아시아 이용자들의 암호화폐 자산을 표적으로 하는 것이다. 반면 iOS 스파크캣은 영어 기반 문구를 찾는 구조로, 특정 지역에 국한되지 않고 광범위한 공격이 가능한 것이 특징이다.

스파크캣은 광학 문자 인식 모듈을 활용해 사진 속 글자를 분석하고, 암호화폐 지갑 복구 문구로 의심되는 정보가 발견되면 해당 이미지를 공격자에게 전송한다. 사용자가 별도로 입력하지 않아도 사진으로 저장해둔 정보만으로 자산 피해를 볼 수 있는 셈이다.

보안 회피 기술도 고도화됐다.

이번 악성코드에는 다층 난독화 구조를 적용하고 코드 가상화와 크로스 플랫폼 프로그래밍 언어를 활용하는 등 모바일 악성코드에서는 드문 고급 기법을 사용한 것으로 분석됐다. 앱스토어 심사를 우회하기 위한 의도라는 설명이다.

이효은 카스퍼스키 한국지사장은 "한국은 높은 스마트폰 보급률과 활발한 암호화폐 사용으로 인해 진화하는 모바일 위협의 주요 표적이 되고 있다"며 "민감한 정보를 눈에 띄는 곳에 저장하지 않으며 전문적인 모바일 보안 솔루션을 도입해야 한다"고 당부했다. kaya@fnnews.com 최혜림 기자