보안기업 카스퍼스키(Kaspersky)가 애플 앱스토어와 구글 플레이스토어에서 정상 애플리케이션으로 위장한 새로운 형태의 악성코드 ‘스파크캣(SparkCat)’ 변종을 발견했다고 27일 밝혔다.

이는 지난해 공식 앱 마켓에서 처음 적발돼 삭제된 이후 약 1년 만에 다시 등장한 것으로, 이번 변종은 더욱 정교한 방식으로 암호화폐 탈취를 노리고 있는 것으로 분석된다.

카스퍼스키 위협 연구팀에 따르면 스파크캣은 평범한 앱처럼 위장해 사용자의 스마트폰에 침투한 뒤, 사진 갤러리를 스캔해 암호화폐 지갑 복구 문구(니모닉)를 찾아내는 방식으로 작동한다.

특히 기업용 메신저나 음식 배달 앱 등 일상에서 사용하는 정상 앱이 감염·유포 도구로 활용된 점이 확인돼 사용자들의 주의가 필요하다. 실제로 앱스토어에서 2개, 구글 플레이에서 1개의 감염 앱이 발견되기도 했는데, 현재는 모두 제거됐다고 알려졌다.

하지만 아직 위험이 완전히 해소되지는 않았다. 카스퍼스키 텔레메트리 데이터에 따르면 스파크캣은 여전히 제삼자 유통 경로를 통해 활발히 배포되고 있으며, 일부 웹페이지는 애플 iOS 기기로 접속할 경우 공식 앱스토어 화면을 정교하게 모방해 악성 앱 설치를 유도하는 피싱 기법까지 동원하고 있다.

이번 변종의 특징 중 하나는 명확한 지역 타게팅이다. 안드로이드용 스파크캣은 감염된 기기의 이미지 갤러리에서 한국어, 일본어, 중국어 키워드가 포함된 스크린샷을 집중해서 탐색하는 것으로 나타났다.

이를 통해 공격자는 주로 아시아 지역 사용자의 암호화폐 자산을 노리는 것으로 분석됐다. 반면 iOS 변종은 영어 기반 니모닉 문구를 탐색해 특정 지역에 국한되지 않고 더 넓은 범위의 사용자를 공격 대상으로 삼고 있다.

스파크캣은 스마트폰 갤러리 접근 권한을 요청한 뒤, 광학문자 인식(OCR) 기술을 활용해 저장된 이미지 속 텍스트를 분석한다. 이후 암호화폐 지갑 복구 문구와 관련된 키워드를 발견하면 해당 이미지를 공격자에게 전송하는 방식이다.

세르게이 푸잔 카스퍼스키 악성코드 분석가는 “현재 샘플과 과거 샘플의 유사성을 고려해 보면 같은 개발자가 새로운 변종을 제작한 것으로 보인다”고 설명했다.

카스퍼스키는 확인된 악성 앱을 애플과 구글에 곧바로 신고한 것으로 전해졌다. 또 사용자들에게 공식 스토어외 경로에서 앱을 설치하지 말 것, 앱 설치 시 과도한 권한 요청을 주의 깊게 확인할 것 등을 당부했다. 암호화폐 지갑 복구 문구는 자산 전체를 탈취할 수 있는 핵심 정보다. 따라서 관련 정보가 저장된 스크린샷이나 메모를 스마트폰에 보관하지 않는 것이 가장 확실한 예방책으로 지적된다.