카스퍼스키, 한·중·일 노린 비트코인 탈취 트로이목마 변종 발견

앱스토어·구글플레이 보안 우회

카스퍼스키 제공

글로벌 보안 기업 카스퍼스키는 앱스토어와 구글플레이에서 디지털자산 탈취 트로이목마 ‘스파크캣’의 변종을 확인했다고 27일 밝혔다.

스파크캣은 디지털자산 지갑의 보안 문구를 탈취하는 모바일 악성 트로이목마다. 정상 앱처럼 위장해 사용자 사진 갤러리를 스캔하고 디지털자산 지갑 복구 문구를 탐색한다. 양 플랫폼에서 악성코드가 제거된 지 1년 만에 새로운 변종이 등장했다.

새로 발견된 스파크캣은 기업용 메신저, 음식 배달 앱 등 감염된 정상 앱을 통해 유포된다. 카스퍼스키 위협 연구팀은 앱스토어와 구글플레이에서 각각 2개, 1개의 감염 앱을 확인했다. 현재는 악성 코드가 제거된 상태다.

스파크캣에 감염된 앱은 제3자 유통 경로를 통해서도 배포되고 있다. 일부 웹페이지는 아이폰에서 접속할 경우 앱스토어를 모방하는 형태로 위장했다.

안드로이드용으로 업데이트된 변종은 아시아 지역 사용자들의 자산을 표적으로 삼았다. 감염된 기기의 이미지 갤러리에서 일본어, 한국어, 중국어로 특정 키워드가 포함된 스크린샷을 탐색한다. 반면 iOS 변종은 영어 문구를 탐색하는 방식이 사용됐다.

안드로이드용 변종에는 코드 가상화와 크로스 플랫폼 프로그래밍 언어 사용 등 다층 난독화 구조가 적용됐다. 이는 모바일 악성코드에서 드물게 사용되는 고급 기법이라고 카스퍼스키는 설명했다.

이효은 카스퍼스키 한국지사장은 “높은 스마트폰 보급률과 활발한 디지털자산 사용으로 한국 사용자들이 모바일 위협의 주요 표적이 되고 있다”며 “악성코드가 공식 앱스토어의 검증을 점점 더 잘 회피하고 있는 만큼 전문적인 모바일 보안 솔루션을 도입할 필요가 있다”고 말했다.

김남석 기자 kns@dt.co.kr