[아이티데일리] 글로벌 보안 기업 카스퍼스키(지사장 이효은)는 자사 위협 리서치 전문(Kaspersky Threat Research) 연구센터가 앱스토어(AppStore)와 구글 플레이(Google Play)에서 활동 중인 새로운 트로이목마 ‘스파크캣(SparkCat)’을 발견했다고 10일 밝혔다.

스파크캣은 지난해 3월부터 앱스토어와 구글 플레이에서 활동해 왔으며, 이는 광학 문자 인식(OCR) 기능을 악용한 악성코드가 앱스토어에서 발견된 최초 사례다. 카스퍼스키는 해당 악성 앱을 구글과 애플에 보고 조치했다.

스파크캣은 구글이 기기 내 머신러닝 전문 지식을 안드로이드 및 iOS 앱에 제공하는 모바일 소프트웨어 개발 키트(SDK)인 ‘ML 키트(Kit)’ 라이브러리로 만든 OCR 플러그인을 악용했다. 이를 통해 이미지 갤러리를 스캔하고 암호화폐 지갑의 복구 문구가 포함된 스크린샷을 탈취했으며, 이미지에서 비밀번호와 같은 다른 민감 데이터도 찾아 추출했다.

스파크캣은 감염된 정상 앱과 미끼 앱(Lure App)을 통해 퍼지고 있다. 감염된 앱 유형은 메신저, AI 어시스턴트, 음식 배달, 암호화폐 관련 앱 등으로 다양하다.

일부 앱은 공식 플랫폼에서 제공되고 있으며, 카스퍼스키의 원격 분석 데이터에 따르면 비공식적 출처에서도 감염된 버전이 유포되고 있다. 해당 앱들은 현재 구글 플레이에서 24만 회 이상 다운로드된 것으로 확인됐다.

감염된 앱의 운영 지역과 악성코드를 기술적으로 분석한 결과, 스파크캣은 주로 아랍에미리트(UAE), 유럽 및 아시아의 사용자를 표적으로 삼았다. 이미지 갤러리를 스캔하며 한국어, 중국어, 일본어, 영어 등 총 9개 언어에 대한 다국어 키워드 검색 기능을 갖추고 있다. 전문가들은 피해자가 특정 국가에 한정되지 않을 가능성이 높다고 보고 있다.

카스퍼스키는 안드로이드 및 iOS 사용자 보호를 위해 스파크캣을 ‘HEUR:Trojan.IphoneOS.SparkCat.’ 및 ‘HEUR:Trojan.AndroidOS.SparkCat.’으로 탐지하고 있다.

아울러 피해를 방지하기 위해 감염된 앱이 설치됐다면 즉시 삭제하고 악성 기능이 제거된 업데이트가 출시될 때까지 사용을 금하며, 암호화폐 지갑 복구 문구 및 기타 민감 정보가 포함된 스크린샷을 갤러리에 저장하지 말 것을 권고했다.

카스퍼스키 이효은 한국지사장은 “새로운 OCR 기반 트로이목마인 스파크캣은 갤러리 내 스크린샷을 분석해 암호화폐 지갑 복구 문구 및 기타 민감한 데이터를 탈취한다”며 “한국을 포함한 UAE, 유럽, 아시아 사용자에게 영향을 미치고 있는 만큼 사용자의 각별한 주의가 필요하다”고 밝혔다.

카스퍼스키 드미트리 칼리닌(Dmitry Kalinin) 악성코드 분석가는 “스파크캣은 공식 앱 마켓에서 유포되며 감염 흔적이 거의 없다. 특히 일반 사용자는 물론 스토어 관리자도 탐지하기 어렵다”며 “특히 요청하는 권한이 정상적으로 보이기에 쉽게 간과될 수 있다. 악성코드가 요청하는 갤러리 접근 권한은 앱 기능상 필수적으로 보일 수 있으며, 고객 지원 등을 이유로 합리화될 가능성이 높다”고 경고했다.