[자료제공:카스퍼스키]
글로벌 보안 기업인 카스퍼스키(www.kaspersky.co.kr, 지사장 이효은)는 오늘, 카스퍼스키 위협 리서치(Kaspersky Threat Research) 전문 연구 센터가 2024년 3월부터 최소한 앱스토어(AppStore) 및 구글 플레이(Google Play)에서 활동 중인 새로운 데이터 탈취 트로이 목마 '스파크캣(SparkCat)'을 발견했다고 밝혔다. 이는 광학 문자 인식(OCR, Optical Character Recognition) 기능을 악용한 악성코드가 앱스토어에서 발견된 최초의 사례다.
스파크캣(SparkCat)은 구글이 기기 내 머신 러닝 전문 지식을 안드로이드 및 iOS 앱에 제공하는 모바일 SDK(소프트웨어개발키트)인 'ML Kit' 라이브러리로 만든 OCR광학 문자 인식) 플러그인을 이용해 이미지 갤러리를 스캔하고, 암호화폐 지갑의 복구 문구(Recovery Phrase)가 포함된 스크린샷을 탈취한다. 또한 이미지에서 비밀번호 등 다른 민감한 데이터도 찾아내 추출할 수 있다. 카스퍼스키는 해당 악성 애플리케이션을 구글 및 애플에 보고했다.
새로운 악성코드의 전파 방식
이 악성코드는 감염된 정상 애플리케이션과 미끼 애플리케이션(Lure App)을 통해 확산되고 있다. 감염된 앱 유형은 메신저(Messenger), AI 비서(AI Assistant), 음식 배달(Food Delivery), 암호화폐 관련 앱(Crypto-related App) 등 다양하다. 일부 앱은 구글 플레이 및 앱스토어 같은 공식 플랫폼에서 제공되고 있으며, 카스퍼스키의 원격 분석(Telemetry) 데이터에 따르면 비공식적인 출처에서도 감염된 버전이 유포되고 있다. 현재 구글플레이에서 해당 앱들은 242,000회 이상 다운로드된 것으로 나타났다.
주요 공격 대상
이 악성코드는 주로 아랍에미리트(UAE), 유럽 및 아시아의 사용자를 표적으로 삼고 있다. 이는 감염된 애플리케이션의 운영 지역과 악성코드의 기술적 분석 결과다. 스파크캣(SparkCat)은 이미지 갤러리를 스캔하며 중국어(Chinese), 일본어(Japanese), 한국어(Korean), 영어(English), 체코어(Czech), 프랑스어(French), 이탈리아어(Italian), 폴란드어(Polish), 포르투갈어(Portuguese) 등 다국어 키워드 검색 기능을 갖추고 있다. 전문가들은 피해자가 특정 국가에 한정되지 않을 가능성이 높다고 보고 있다. 예를 들어, iOS용 음식 배달 애플리케이션 ComeCome이 감염되었으며, 안드로이드 버전도 동일하게 감염된 상태다. 또한, 앱스토어에 등록된 메신저 앱도 미끼 애플리케이션으로 활용된 사례가 발견됐다.
스파크 캣(SparkCat)의 작동 방식
설치된 후 특정 조건에서 스마트폰 갤러리의 사진 접근 권한을 요청한다. 이후 광학 문자 인식(OCR) 모듈을 이용해 저장된 이미지의 텍스트를 분석한다. 만약 악성코드가 특정 키워드를 감지하면, 해당 이미지를 공격자에게 전송한다. 해커의 주요 목표는 암호화폐 지갑의 복구 문구를 확보하는 것이다. 이 정보를 이용하면 피해자의 지갑을 완전히 장악하고 자금을 탈취할 수 있다. 뿐만 아니라, 스파크캣(SparkCat)은 스크린샷에서 메시지 및 비밀번호 등 다른 개인 정보를 추출할 수도 있다.
카스퍼스키 이효은 한국지사장은 "카스퍼스키 위협 리서치(Kaspersky Threat Research)는 2024년 3월부터 앱스토어와 구글 플레이에서 활동 중인 새로운 OCR 기반 트로이 목마인 스파크캣을 발견했다. 이 악성코드는 갤러리 내 스크린샷을 분석해 암호화폐 지갑 복구 문구 및 기타 민감한 데이터를 탈취하며, 한국을 포함한 UAE, 유럽, 아시아 사용자에게 영향을 미치고 있다. 카스퍼스키는 구글과 애플에 악성 애플리케이션을 보고했으며, 사용자들의 각별한 주의가 필요하다"라고 말했다
카스퍼스키의 세르게이 푸잔(Sergey Puzan) 악성코드 분석가는 "OCR 기반 트로이 목마가 AppStore에 침투한 최초 사례다. Google Play와 AppStore에서 악성 애플리케이션이 유포된 방식이 공급망 공격(Supply Chain Attack) 때문인지, 혹은 다른 방법에 의해 감염된 것인지는 아직 명확하지 않다. 음식 배달 앱처럼 정상적인 앱으로 보이는 경우도 있으며, 반면 명백히 미끼용으로 제작된 앱도 존재한다"라고 말했다.
카스퍼스키의 드미트리 칼리닌(Dmitry Kalinin) 악성코드 분석가는 "스파크캣(SparkCat)은 특정한 특징들로 인해 매우 위험한 악성코드다. 공식 앱 마켓에서 유포되며, 감염 흔적이 거의 없다. 특히 일반 사용자는 물론, 스토어 관리자도 탐지하기 어렵다. 요청하는 권한이 정상적으로 보이기 때문에 쉽게 간과될 수 있다. 악성코드가 요청하는 갤러리 접근 권한은 앱 기능상 필수적으로 보일 수 있으며, 고객 지원 등을 이유로 합리화될 가능성이 높다"라고 경고했다.
카스퍼스키는 Android 버전 악성코드의 코드 내에 중국어로 작성된 주석(Comment)을 발견했다. 또한, iOS 버전의 개발자 홈 디렉토리에서 "qiongwu" 및 "quiwengjing"이라는 이름이 포함된 것을 확인했다. 이를 바탕으로 공격자가 중국어에 능통한 것으로 보이지만, 특정 사이버 범죄 조직과의 연관성을 입증할 증거는 부족하다.
머신러닝 기반 공격 주목
최근 사이버 범죄자들은 뉴럴 네트워크(신경망, Neural Network)를 활용한 공격 기술을 적극적으로 도입하고 있다. 스파크캣(SparkCat)의 안드로이드 모듈은 구글의 머신러닝 라이브러리인 'ML Kit'로 만든 OCR광학 문자 인식) 플러그인을 사용하여 저장된 이미지의 텍스트를 인식하는 OCR 플러그인을 복호화 및 실행한다. 유사한 기법이 iOS 악성코드에서도 발견되었다.
카스퍼스키의 보안 솔루션과 대응 방안
카스퍼스키는 안드로이드 및 iOS 사용자 보호를 위해 스파크캣(SparkCat)을 HEUR:Trojan.IphoneOS.SparkCat. 및 HEUR:Trojan.AndroidOS.SparkCat. 으로 탐지하고 있다. 이 악성코드 캠페인에 대한 전체 보고서는 Securelist 에서 확인 가능하다.
스파크캣(SparkCat) 피해를 방지하기 위한 보안 조치
카스퍼스키는 다음과 같은 보안 수칙을 준수할 것을 권장한다.
* 감염된 애플리케이션이 설치된 경우 즉시 삭제하고, 악성 기능이 제거된 업데이트가 출시될 때까지 사용하지 말아야 한다.
* 암호화폐 지갑 복구 문구 및 기타 민감한 정보가 포함된 스크린샷을 갤러리에 저장하면 안된다. 비밀번호는 카스퍼스키 패스워드 매니저(Kaspersky Password Manager)와 같은 전용 보안 애플리케이션에 저장하는 것이 안전하다.
* 카스퍼스키 프리미엄(Kaspersky Premium)과 같은 신뢰할 수 있는 사이버 보안 소프트웨어를 사용해 악성코드 감염을 방지해야 한다.
디스이즈게임 댓글 ()
디스이즈게임
