글로벌 보안 기업 카스퍼스키(Kaspersky)가 2024년 3월부터 구글 플레이(Google Play)와 애플 앱스토어(App Store)에서 활동 중인 새로운 데이터 탈취 트로이 목마 ‘스파크캣(SparkCat)’을 발견했다고 밝혔다.

이 악성코드는 광학 문자 인식(OCR) 기능을 악용해 사용자 이미지 갤러리에서 암호화폐 지갑 복구 문구와 비밀번호 등 민감한 정보를 탈취하는 신종 위협이다.

카스퍼스키의 연구에 따르면 스파크캣은 구글의 ML Kit 라이브러리로 개발된 OCR 플러그인을 사용해 이미지 내 텍스트를 분석하고, 복구 문구(Recovery Phrase) 또는 비밀번호를 감지하면 이를 공격자에게 전송한다. 카스퍼스키는 이 악성코드를 구글과 애플에 보고했으며, 사용자들에게 각별한 주의를 당부했다.

OCR 기반 악성코드, 최초로 앱스토어에서 발견

스파크캣은 앱스토어와 구글 플레이에서 발견된 최초의 OCR 기반 악성코드다. 이 악성코드는 설치 후 특정 조건에서 이미지 갤러리 접근 권한을 요청하며, 사용자가 저장한 이미지에서 텍스트를 추출해 특정 키워드를 탐지한다.

만약 복구 문구 또는 비밀번호 등 민감한 정보가 포함된 스크린샷이 발견될 경우 해당 이미지는 공격자에게 전송된다. 암호화폐 지갑 복구 문구는 특히 중요한 목표로, 이를 확보한 공격자는 피해자의 지갑을 완전히 장악할 수 있다.

카스퍼스키의 세르게이 푸잔(Sergey Puzan) 악성코드 분석가는 “OCR 기반 트로이 목마가 앱스토어에서 발견된 것은 이번이 처음”이라며, “정상적인 앱으로 보이는 경우도 많아 사용자가 쉽게 속을 수 있다.” 라고 설명했다.

스파크캣의 전파 방식과 주요 대상

스파크캣은 메신저(Messenger), AI 비서(AI Assistant), 음식 배달(Food Delivery), 암호화폐 관련 앱 등을 통해 확산되고 있다. 일부 앱은 공식 플랫폼인 구글 플레이와 앱스토어에서 배포됐으며, 비공식적인 출처에서도 감염된 버전이 유포되고 있다.

카스퍼스키 원격 분석(Telemetry) 데이터에 따르면, 스파크캣이 포함된 앱은 현재까지 242,000회 이상 다운로드된 것으로 집계됐다. 주요 공격 대상은 아랍에미리트(UAE), 유럽, 아시아 사용자로, 다국어 키워드 검색 기능을 갖춘 이 악성코드는 중국어, 일본어, 한국어, 영어, 프랑스어, 이탈리아어, 폴란드어, 포르투갈어 등 여러 언어를 인식할 수 있다.

머신러닝 기반 공격과 스파크캣의 작동 방식

스파크캣은 구글 ML Kit의 머신러닝 기반 OCR 플러그인을 사용해 이미지를 스캔하고 텍스트를 인식한다. 이러한 기술은 iOS와 안드로이드 모두에서 유사하게 사용된다. 드미트리 칼리닌(Dmitry Kalinin) 카스퍼스키 악성코드 분석가는 “스파크캣은 탐지가 매우 어려운 악성코드”라며 “공식 앱 마켓에서 유포되며 요청하는 권한이 정상적으로 보이기 때문에 사용자와 스토어 관리자 모두 이를 간과할 위험이 있다”고 경고했다.

카스퍼스키는 스파크캣의 안드로이드 버전 악성코드에서 중국어로 작성된 주석과 iOS 버전 개발자 홈 디렉토리에서 ‘qiongwu’ 및 ‘quiwengjing’이라는 이름을 발견했다. 이에 따라 공격자가 중국어에 능통할 가능성이 제기됐으나, 특정 사이버 범죄 조직과의 연관성은 아직 확인되지 않았다.

사용자 보호를 위한 카스퍼스키의 대응

카스퍼스키는 스파크캣을 HEUR:Trojan.IphoneOS.SparkCat 및 HEUR:Trojan.AndroidOS.SparkCat으로 탐지하고 있으며, 사용자를 보호하기 위한 보안 조치를 강화하고 있다.

카스퍼스키는 암호화폐 지갑 복구 문구와 비밀번호를 갤러리에 저장하지 말고, 비밀번호는 카스퍼스키 패스워드 매니저(Kaspersky Password Manager)와 같은 보안 앱에 보관할 것을 권장했다.

카스퍼스키 이효은 한국지사장은 “스파크캣은 한국을 포함한 여러 국가 사용자에게 광범위한 영향을 미칠 수 있는 악성코드”라며, “사용자들은 의심스러운 애플리케이션을 다운로드하지 말고, 설치된 앱의 권한을 항상 확인해야 한다”고 강조했다.

스파크캣 피해 방지를 위한 보안 수칙

카스퍼스키는 사용자들에게 다음과 같은 보안 수칙을 권장하고 있다.

① 감염된 앱 즉시 삭제 : 감염된 애플리케이션이 설치된 경우 즉시 삭제하고, 악성 기능이 제거된 업데이트가 출시될 때까지 사용하지 말 것.

② 민감 정보 저장 금지 : 암호화폐 지갑 복구 문구 및 비밀번호가 포함된 스크린샷을 갤러리에 저장하지 말 것.

③ 보안 소프트웨어 사용 : 카스퍼스키 프리미엄(Kaspersky Premium)과 같은 신뢰할 수 있는 보안 솔루션을 사용해 악성코드 감염을 방지할 것.

스파크캣과 같은 신종 악성코드는 점점 더 정교한 방식으로 사용자 데이터를 노리고 있다. 사용자는 공식 앱 마켓에서 다운로드한 앱이라도 권한 요청과 이상 동작을 주의 깊게 살펴야 하며, 최신 보안 솔루션으로 기기를 보호하는 것이 필수적이다.