지갑 정보나 시드 구문을 사진으로 보관하시나요? 이 트로이 목마가 당신을 노릴 수 있습니다

새로운 모바일 스파이웨어 변종인 'SparkKitty'가 애플 앱 스토어와 구글 플레이에 침투해 암호화폐 테마 앱이나 수정된 앱으로 위장하며 사용자의 시드 구문과 지갑 자격 증명이 담긴 이미지를 몰래 추출하고 있습니다.

이 악성코드는 2025년 초 처음 발견된 'SpARkCat' 캠페인의 후속작으로 보이는데, 당시에는 가짜 지원 채팅 모듈을 통해 사용자 갤러리에 침투해 민감한 스크린샷을 빼돌렸습니다.

카스퍼스키 연구진은 월요일 발표에서 "SparkKitty는 동일한 전략을 한 단계 더 발전시켰다"고 설명했습니다.

비공식 안드로이드 패키지를 통해 주로 유포되던 SparkCat과 달리, SparkKitty는 공식 스토어에서 다운로드 가능한 여러 iOS 및 안드로이드 앱 내부에서 확인되었습니다. 여기에는 암호화폐 거래 기능이 있는 메시징 앱(구글 플레이에서 1만 회 이상 설치)과 '币coin'이라는 포트폴리오 추적기로 위장한 iOS 앱이 포함됩니다.

iOS 버전의 핵심에는 무기화된 AFNetWorking 또는 Alamofire 프레임워크가 사용되었으며, 공격자는 Objective-C의 +load 선택자를 이용해 앱 실행 시 자동으로 실행되는 커스텀 클래스를 삽입했습니다.

시작 시 숨겨진 구성 값을 확인하고 명령 및 제어(C2) 주소를 가져온 후 사용자 갤러리를 스캔해 이미지 업로드를 시작합니다. C2 주소는 데이터를 훔치거나 파일을 보낼 시기 등을 악성코드에 지시하며, 탈취한 정보를 다시 받아갑니다.

안드로이드 변종은 동일한 목적을 위해 수정된 자바 라이브러리를 활용합니다. Google ML Kit을 통해 OCR이 적용되어 이미지를 분석하며, 시드 구문이나 개인 키가 감지되면 파일을 플래그 처리해 공격자의 서버로 전송합니다.

iOS 설치에는 기업용 프로비저닝 프로필이 사용되는데, 이는 내부 기업 앱용으로 고안되었으나 종종 악성코드 유포에 악용됩니다.

피해자들은 'SINOPEC SABIC TIAnjin Petrochemical Co. Ltd.'에 연결된 개발자 인증서를 수동으로 신뢰하도록 속아 SparkKitty에 시스템 수준 권한을 부여하게 됩니다.

여러 C2 주소는 난독화된 서버에 호스팅된 AES-256 암호화 구성 파일을 사용했습니다.

복호화 후 이들은 /aPi/putImages 및 /api/getImageStatus와 같은 페이로드 페처 및 엔드포인트를 가리키며, 앱은 사진 전송을 업로드할지 지연할지 결정합니다.

카스퍼스키 연구진은 난독화된 초기화 로직을 가진 위조된 OpENSSL 라이브러리(libcrypto.dylib)를 사용하는 악성코드의 다른 버전도 발견했는데, 이는 진화하는 도구셋과 다중 유포 벡터를 시사합니다.

대부분의 앱이 중국 및 동남아시아 사용자를 대상으로 한 것으로 보이지만, 이 악성코드의 지역적 범위를 제한하는 요소는 없습니다.

애플과 구글은 공개 후 해당 앱을 삭제했지만, 이 캠페인은 2024년 초부터 활성화되었을 가능성이 높으며 사이드로드 변종이나 복제 스토어를 통해 여전히 진행 중일 수 있다고 연구진은 경고했습니다.

번역: ShadowHawk42