카스퍼스키가 안드로이드 및 iOS 기반 스마트폰을 노리는 신규 트로이 스파이 악성코드 ‘스파크키티(SparkKitty)’를 발견했다. 스파크키티는 사용자 기기에서 사진과 기기 정보를 공격자에게 전송하는 정보 탈취형 악성코드로, 앱스토어, 구글플레이, 사기 웹사이트를 통해 암호화폐·도박·틱톡 등 인기 앱으로 위장한 채 유포된 것이 특징이다.
분석에 따르면 스파크키티는 과거 애플 앱스토어 보안 우회 악성코드로 확인된 ‘스파크캣(SparkCat)’과 동일한 공격 조직에 의해 배포된 것으로 추정된다. 스파크캣은 OCR 기능을 이용해 갤러리 내 스크린샷에서 암호화폐 지갑 복구 문구 등을 추출한 바 있다.
iOS에서는 암호화폐 앱 ‘币coin’과 트로이화된 틱톡 앱이 위장 수단으로 사용됐다. 공격자는 App Store 모방 피싱 페이지를 통해 틱톡 설치를 유도했으며, 해당 앱에는 사진 탈취 외에도 프로필 화면에 암호화폐 전용 가짜 쇼핑몰 링크가 삽입되어 있었다. 해당 유포 경로에는 기업용 개발자 도구를 악용한 정식 설치 방식이 사용됐다.
안드로이드 환경에서는 구글 플레이와 외부 웹사이트를 통해 악성 앱이 동시에 배포됐다. 대표 사례로 메신저 기능과 암호화폐 거래 기능을 포함한 ‘SOEX’ 앱은 구글 플레이에서 1만 건 이상 다운로드되었으며, APK 파일 형태로도 SNS와 유튜브 링크를 통해 유포됐다.
해당 앱들은 사용자에게 정상 앱처럼 작동하는 동시에, 기기 내 저장된 사진을 외부 서버로 전송하는 행위를 수행한다. 공격자는 전송된 이미지에서 복구 문구 또는 계정 정보 등 민감 데이터를 수집하려는 시도를 병행한다.
회사는 공격의 주요 대상이 동남아시아와 중국 사용자이며, 공격자가 디지털 자산 탈취를 주요 목적으로 삼고 있는 정황이 다수 확인됐다고 밝혔다. 감염된 앱들이 암호화폐 관련 기능을 중심으로 구성되어 있으며, 결제 방식 또한 암호화폐 기반으로 한정되어 있다는 점이 특징이다.
카스퍼스키 이효은 한국지사장은 신뢰받는 앱 스토어조차 악성코드의 유포 통로가 될 수 있는 환경에서, 사용자는 반드시 신뢰 가능한 보안 솔루션을 사용하는 동시에 앱 설치 시 출처 확인, 과도한 권한 요청 여부 검토 등 보안 인식을 높여야 한다고 강조했다. 카스퍼스키는 Kaspersky Premium과 같은 보안 솔루션을 통해 글로벌 사용자 보호 역량을 강화하고 있으며, 향후에도 위협 정보 공유와 분석 체계를 강화해 대응할 계획이다.
