카스퍼스키, 시드 문구 스크린샷을 노리는 신종 암호화폐 멀웨어 경고

모바일 스파이웨어의 새로운 변종이 암호화폐 사용자들을 노려 지갑 시드 문구가 담긴 스크린샷을 훔치고 있으며, 일부 감염된 앱들은 애플과 구글의 스토어 방어망을 뚫고 유통된 것으로 나타났습니다.

카스퍼스키는 암호화폐 사용자들의 휴대폰 갤러리에 저장된 시드 문구 스크린샷을 표적으로 하는 새로운 모바일 암호화폐 멀웨어를 발견했습니다. 이 멀웨어는 안드로이드와 iOS 앱을 통해 확산되었으며, 일부는 구글 플레이와 애플 앱 스토어를 포함한 공식 앱 스토어에 등록되기도 했습니다.

주로 동남아시아와 중국 사용자를 노린 이번 신종 멀웨어 '스파크키티(SpARkKitty)'는 지난 1월 발견된 '스파크캣(SparkCat)' 멀웨어 캠페인과 유사한 것으로 보입니다. 스파크캣과 마찬가지로 이번 변종도 민감한 정보가 담긴 사진을 훔치는 데 집중하고 있습니다.

이 멀웨어는 틱톡 모드, 암호화폐 트래커, 도박 게임, 성인 콘텐츠 앱 등 겉보기에 정상적인 앱 내부에 숨어 있습니다. 이 앱들은 사용자에게 특수 개발자 프로필을 설치하도록 유도하며, 이 프로필은 멀웨어가 휴대폰의 일반적인 앱 검토 보호 체계를 벗어나 실행될 수 있도록 합니다.

설치되면 멀웨어는 사용자가 특정 화면(예: 지원 채팅)을 열 때까지 기다렸다가 사진 갤러리에 대한 접근 권한을 요청합니다. 권한이 허용되면 광학 문자 인식(OCR) 기술로 이미지를 스캔하여 텍스트가 포함된 스크린샷을 식별하고 훔칩니다.

대부분의 가짜 앱들은 강력한 암호화폐 테마를 가지고 있었으며, 일부는 암호화폐 전용 스토어를 포함하고 있어 시드 문구 수집이 목적이었음을 시사합니다.

예를 들어, 보고서에서 적발된 두 가지 앱은 'Soex WALlet Tracker'와 'Coin Wallet Pro'였습니다. 실시간 추적 기능을 갖춘 포트폴리오 관리자로 위장한 Soex는 구글 플레이에서 5,000회 이상 다운로드된 후 삭제되었습니다.

안전한 멀티체인 지갑으로 마케팅된 'Coin Wallet Pro'는 애플 앱 스토어에 잠시 등장했다가 소셜 미디어 광고와 텔레그램 프로모션을 통해 인기를 끌다가 삭제되었습니다.

카스퍼스키는 애플과 구글에 이 사실을 통보했으며, 영향을 받은 앱들은 이후 해당 스토어에서 삭제되었습니다. 연구진은 이 캠페인이 최소 2024년 4월부터 진행되어 왔으며, 일부 샘플은 더 이전으로 거슬러 올라간다고 밝혔습니다.