카스퍼스키가 모바일 기기를 노리는 신종 스파이 악성코드 ‘스파크키티(SparkKitty)’를 탐지했다고 밝혔다. 해당 악성코드는 안드로이드와 iOS 양쪽을 표적으로 하며 암호화폐 지갑 복구 문구, 사진 등 민감 정보를 탈취하는 트로이 스파이로 분석됐다.

 

스파크키티는 암호화폐 및 도박 관련 앱, 틱톡을 위장한 앱 등에 삽입돼 앱스토어, 구글플레이, 사기 웹사이트 등을 통해 유포됐다. 특히 iOS에서는 ‘币coin’ 등 암호화폐 앱으로 위장하거나 피싱 페이지를 통해 틱톡과 도박 앱 형태로 감염을 시도했다. 공격자는 애플의 기업용 앱 배포 도구를 활용해 앱스토어 외부에서 설치를 유도한 것으로 나타났다.

 

안드로이드에서는 구글플레이 등록 앱 ‘SOEX’ 등으로 위장해 유포됐으며 1만 건 이상의 다운로드가 이뤄졌다. 해당 앱은 설치 후 정상 기능을 수행하는 것처럼 보이지만 동시에 사용자의 사진을 탈취해 공격자에게 전송하는 기능을 탑재하고 있다. 대부분의 감염 앱은 SNS를 통한 홍보 및 외부 사이트에서의 APK 다운로드 방식으로 확산됐다.

 

 

카스퍼스키는 스파크키티가 이전에 발견된 iOS 악성코드 ‘스파크캣(SparkCat)’과 연계됐을 가능성을 제기했다. 스파크캣은 OCR 기능을 통해 암호화폐 지갑 복구 문구가 담긴 스크린샷을 탈취했던 악성코드다. 이번 발견은 스파크캣의 진화 형태로 앱스토어 보안 우회를 포함해 보다 정교한 전술이 동원된 것으로 평가된다.

 

이효은 카스퍼스키 한국지사장은 “이번 탐지는 신뢰받는 앱스토어조차 위협에 노출될 수 있음을 경고한다”며 “특히 암호화폐, 도박, 틱톡과 같이 대중적으로 사용되는 앱 이용 시 더욱 주의가 필요하다”고 강조했다. 이어 “Kaspersky Premium과 같은 전문 보안 솔루션을 통해 사용자는 자신과 자산을 보호할 수 있다”고 덧붙였다.

 

카스퍼스키는 사용자에게 '감염 의심 앱 삭제', '복구 문구 스크린샷 보관 금지', '사진 접근 권한 요청 시 앱 정체 확인' 등 수칙을 권장했다.

 

헬로티 구서경 기자 |