카스퍼스키(www.kaspersky.co.kr, 지사장 이효은)는 iOS와 안드로이드 스마트폰을 대상으로 하는 새로운 트로이형 스파이웨어 ‘스파크키티(SparkKite)’를 발견했다고 19일 밝혔다. 이 악성코드는 감염된 스마트폰에서 사진과 기기 정보를 탈취해 공격자에게 전송하며, 특히 암호화폐와 도박 관련 앱, 틱톡 앱 등을 트로이화한 형태로 앱스토어, 구글 플레이, 그리고 사기 웹사이트를 통해 유포되고 있다.

카스퍼스키 분석팀은 이번 공격의 주요 목적이 동남아시아 및 중국 지역 사용자의 암호화폐 자산을 노린 것이라고 분석하고 있다. 이 악성코드는 애플 앱스토어 보안을 우회해 스크린샷을 탈취했던 악성코드 ‘스파크캣(SparkCat)’과 연결된 것으로 추정된다. 스파크캣은 iOS에서 최초로 발견된 악성코드 중 하나로, 광학 문자 인식(OCR) 모듈을 내장해 이미지 갤러리에서 암호화폐 지갑 복구 문구나 비밀번호 등이 포함된 스크린샷을 추출할 수 있는 기능을 가지고 있다. 카스퍼스키는 스파크캣을 최초로 발견한 지 1년도 되지 않아 새로운 변종인 스파크키티를 App Store에서 찾아냈다고 밝혔다.

iOS 대상… 가짜 앱스토어 및 틱톡 위장 배포

iOS에서는 스파크키티가 암호화폐 앱 ‘币coin’으로 위장해 앱스토어에 등록되었다. 이 외에도 공식 아이폰 앱스토어를 모방한 피싱 페이지를 통해 틱톡 및 도박 앱으로 위장한 형태로 유포됐다. 카스퍼스키의 세르게이 푸잔(Sergey Puzan) 악성코드 분석가는 “피해자의 아이폰을 감염시키기 위한 가짜 웹사이트가 유포 벡터 중 하나였다”며, “iOS에는 공식 앱스토어 외에도 기업용 앱 배포와 같은 몇 가지 합법적인 설치 경로가 존재하는데, 이번 캠페인에서는 공격자가 기업용 배포에 사용되는 개발자 도구를 악용했다”고 설명했다.

‘币coin’ - App Store에 등록된 암호화폐 거래소 사칭 앱

개발자 도구를 통해 틱톡 앱을 설치하도록 유도하는 App Store 모방 웹페이지

트로이화된 틱톡 앱에 내장된 가짜 웹 스토어

감염된 틱톡 앱에서는 사용자가 로그인할 때 스마트폰 갤러리에서 사진을 훔치는 기능 외에도, 사용자의 프로필 화면에 가짜 쇼핑몰 링크를 삽입하는 방식으로 공격이 이뤄졌다. 해당 쇼핑몰은 암호화폐로만 결제를 받는 구조였으며, 이를 통해 사이버 공격자가 디지털 자산에 관심을 두고 있다는 의심을 뒷받침한다.

안드로이드에서도 공식 스토어 통해 유포… SNS 연계 유입

안드로이드 플랫폼에서는 공격자들이 제3자 웹사이트뿐 아니라 공식 구글 플레이스토어에서도 악성 앱을 배포한 것으로 나타났다. 카스퍼스키에 따르면, 암호화폐 거래 기능이 포함된 메신저 앱 ‘SOEX’는 구글 플레이에서 1만 회 이상 다운로드됐으며, 악성코드를 포함하고 있었다.

‘SOEX’ - Google Play에 등록된 암호화폐 거래소 사칭 앱

카스퍼스키는 이번 캠페인과 관련된 악성 APK 파일도 확인했다고 밝혔다. 이 APK들은 공식 스토어를 우회해 안드로이드 기기에 직접 설치가 가능하며, 대부분 암호화폐 투자 프로젝트로 포장되어 있었다. 유튜브 등 SNS를 통해 유포된 웹사이트에서 다운로드가 유도된 것으로 나타났다.

카스퍼스키의 드미트리 칼리닌(Dmitry Kalinin) 악성코드 전문가는 “이 앱들은 설치 이후 표면적으로는 정상적으로 동작했지만, 백그라운드에서는 스마트폰 갤러리에서 사진을 공격자에게 전송하고 있었다”며 “공격자는 이미지 내 암호화폐 지갑 복구 문구 등 민감한 정보를 추출하려 시도할 수 있으며, 대부분의 감염 앱이 암호화폐 관련 서비스라는 점에서 공격 목적이 명확하다”고 분석했다.

스파크키티 대응 위한 사용자 보안 수칙 강조

카스퍼스키 한국지사장 이효은은 “전 세계적으로 사이버 보안 위협이 정교하고 다양화되고 있는 가운데, 스파크키티의 발견은 공격자들이 사용하는 수법이 얼마나 고도화되고 있는지를 보여준다”며 “특히 암호화폐, 도박 앱, 틱톡과 같은 인기 플랫폼을 이용할 때 사용자는 보다 각별한 주의가 필요하다”고 강조했다. 이어 “이러한 악성코드는 신뢰받는 앱스토어를 통해서도 침투할 수 있으므로, 보안 조치 강화와 사용자 인식 제고가 중요하다. 한국을 포함한 글로벌 사용자들은 Kaspersky Premium 같은 신뢰할 수 있는 보안 솔루션을 통해 자산과 개인정보를 보호해야 한다”고 덧붙였다.

카스퍼스키는 스파크키티 감염을 예방하기 위해 다음과 같은 보안 수칙을 권장하고 있다.

- 감염된 앱을 설치했다면 즉시 삭제하고, 악성 기능이 제거된 업데이트가 나올 때까지 사용을 중단해야 한다.

- 암호화폐 지갑 복구 문구 등 민감한 정보를 담은 스크린샷은 갤러리에 저장하지 말고, 비밀번호는 Kaspersky Password Manager 같은 암호 관리자 앱에 보관해야 한다.

- Kaspersky Premium 같은 보안 소프트웨어는 악성코드 감염을 예방할 수 있으며, iOS 구조 상 명령 서버로 데이터 전송 시 경고를 제공하고 이를 차단할 수 있다.

- 앱이 사진 앨범 접근 권한을 요청할 경우, 해당 앱이 실제로 그 권한이 필요한지 반드시 확인해야 한다.

카스퍼스키는 이번 스파크키티 사례를 통해, 디지털 자산을 노리는 공격자들이 모바일 플랫폼 전반을 표적으로 하고 있음을 경고하고 있으며, 사용자들이 보다 높은 보안 의식을 갖고 모바일 앱 사용에 임할 것을 강조했다.

뉴스탭/news@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지