카스퍼스키, 암호화폐 지갑 노린 '스파크캣' 악성코드 경고

카스퍼스키 랩(Kaspersky Labs)이 최근 안드로이드 및 iOS 기반 애플리케이션 개발 키트에서 암호화폐 지갑 정보를 탈취하는 악성코드를 발견했다고 경고했다.

4일(현지시간) 카스퍼스키의 보안 분석가 세르게이 푸잔과 드미트리 칼리닌은 해당 악성코드 ‘스파크캣(SparkCat)’이 포함된 애플리케이션이 구글 플레이스토어와 애플 앱스토어에서 제공되고 있다고 보고했다. 스파크캣은 감염된 디바이스에서 사진을 검색한 뒤 광학 문자 인식(OCR) 기술을 활용해 암호화폐 복구 구문(시드 프레이즈)을 추출하는 기능을 갖추고 있다.

보고서에 따르면, 이 악성코드는 단순히 암호화폐 지갑 복구 구문뿐만 아니라 메시지 내용, 스크린샷에 저장된 패스워드 등 개인 데이터를 함께 탈취할 수 있는 것으로 확인됐다.

특히 안드로이드 환경에서는 ‘스파크’라는 자바(Java) 기반 구성 요소로 위장해 설치되며, 깃랩(GitLab)에 암호화된 설정 파일을 저장해 명령어 및 운영 업데이트를 수신하는 방식이 사용된다. 또한 구글의 기계 학습 라이브러리인 ML Kit OCR을 통해 감염된 디바이스에서 텍스트를 추출, 암호화폐 지갑 복구 구문을 확보해 해커의 디바이스에서 지갑을 불러올 수 있도록 한다.

카스퍼스키는 해당 악성코드가 최소 2024년 3월부터 유포됐으며, 지금까지 약 24만 2,000회 다운로드된 것으로 추정하고 있다. 유럽과 아시아 지역의 이용자를 주 타깃으로 삼고 있으며, 실재하는 서비스 앱과 가짜 앱을 혼합해 유포되는 점이 특징이다. 또한 악성코드의 여러 기능 가운데 러스트(Rust) 프로그래밍 언어를 사용해 크로스 플랫폼 지원과 코드 분석 회피 기능을 탑재한 점도 감염을 어렵게 만드는 요인으로 분석됐다.

해당 악성코드가 서플라이 체인 공격(소프트웨어 공급망 해킹)을 통해 삽입된 것인지, 일부 개발자가 의도적으로 포함시킨 것인지에 대한 여부는 확인되지 않았다. 일부 애플리케이션은 정상적인 음식 배달 서비스 앱으로 위장한 반면, 특정 개발자가 AI 기능을 제공하는 가짜 메시징 앱들을 제작해 배포하고 있는 정황도 드러났다.

현재까지 이 악성코드의 배후가 누구인지 명확히 밝혀지지는 않았지만, 2023년 3월 보안업체 ESET이 발견한 암호화폐 탈취 캠페인과 유사한 점이 있다는 분석도 나왔다. 카스퍼스키 연구진은 또한 악성 모듈 내 주석과 오류 설명이 중국어로 작성된 점을 들어 해당 개발자가 중국어에 능통할 가능성이 있다고 시사했다.

보안 전문가들은 사용자가 암호화폐 지갑 복구 구문을 포함한 민감한 정보를 스마트폰 사진 저장소에 저장하지 말 것을 권고했다. 대신 암호화된 비밀번호 관리자 등을 활용해 보안을 강화해야 하며, 의심스러운 애플리케이션은 즉시 삭제할 필요가 있다고 조언했다.

한편, 구글과 애플은 해당 악성코드 발견에 대한 공식적인 입장을 내놓지 않은 상태다.