배달 앱 등으로 위장해 앱스토어·구글플레이 침투

카스퍼스키, 스파크캣 변종 주의보

[카스퍼스키 제공. 재판매 및 DB 금지]

(서울=연합뉴스) 권하영 기자 = 카스퍼스키는 애플 앱스토어와 구글 플레이스토어에서 정상 앱으로 위장해 암호화폐를 탈취하는 새로운 '스파크캣(SparkCat)' 트로이목마 변종을 발견했다고 27일 밝혔다.

카스퍼스키 위협 연구팀에 따르면 이번 변종은 기업용 메신저와 음식 배달 앱 등 실생활에서 자주 쓰이는 정상 앱으로 교묘하게 위장해 유포됐다.

카스퍼스키는 앱스토어에서 2개, 구글플레이에서 1개의 감염 앱을 찾아내 현재는 제거를 완료한 상태다.

해당 트로이목마는 사용자의 사진 갤러리를 무단으로 스캔해 암호화폐 지갑 복구에 필요한 문구를 찾아낸다.

이 악성코드는 겉으로는 정상적인 기능을 수행하지만 백그라운드에서는 광학 문자 인식(OCR) 기술을 동원해 기기에 저장된 이미지 내 텍스트를 분석한다.

분석 도중 암호화폐 지갑 복구용 키워드가 탐지되면 즉시 해당 이미지를 공격자의 명령 제어(C2) 서버로 전송해 사용자 지갑에 무단 접근하는 방식을 취한다.

이효은 카스퍼스키 한국지사장은 "한국은 스마트폰 보급률이 높고 암호화폐 사용이 활발해 진화하는 모바일 위협의 주요 표적이 되고 있다"며 "민감한 정보를 눈에 띄는 곳에 저장하지 않고, 전문적인 모바일 보안 솔루션을 도입할 필요가 있다"라고 조언했다.

kwonhy@yna.co.kr