SparkCat: 앱 스토어를 통해 전파되는 멀티 플랫폼 맬웨어

Kaspersky의 사이버 보안 연구원들이 “SparkCat”이라는 새로운 악성 소프트웨어 캠페인을 발견했습니다. 이 캠페인은 공식 앱 스토어인 Google Play와 Apple App Store를 통해 Android와 iOS 사용자를 대상으로 하고 있습니다.

Kaspersky는 이것이 애플의 생태계 내에서 처음으로 스틸러가 발견된 사례라고 말했습니다. 이로 인해 모바일 애플리케이션의 보안 취약성에 대한 우려가 커졌습니다.

이 악성 프로그램은 악의적인 소프트웨어 개발 키트(SDK) 내부에 내장되어 있으며, 242,000회 이상 다운로드 된 Android와 iOS 애플리케이션에서 발견되었습니다.

SparkCat은 주로 광학 문자 인식(OCR) 도용 도구로 작동하며, 사용자의 장치 갤러리에 있는 이미지를 스캔하여 암호화폐 지갑 복구 문구를 추출합니다. 이 기술은 공격자가 전통적인 보안 조치를 우회하고 피해자의 디지털 자산에 무단으로 접근할 수 있게 해줍니다.

ESET의 조사에 따르면 SparkCat의 활동은 2024년 3월까지 거슬러 올라갔습니다. 이 악성 소프트웨어는 Google의 ML Kit 라이브러리로 만들어진 OCR 플러그인을 사용해 이미지에서 민감한 텍스트를 식별하고 추출하는 방식으로 작동합니다.

그 후 도난당한 데이터는 모바일 애플리케이션에서 드물게 사용되는 프로그래밍 언어인 Rust로 구현된 통신 프로토콜을 사용하여 명령 및 제어(C2) 서버로 전송되어, 그 작동을 더욱 숨기게 됩니다.

감염된 앱 중 하나인 “ComeCome”이라는 음식 배달 서비스 앱은 Google Play에서 10,000회 이상 다운로드된 것으로 밝혀졌습니다. 이 앱의 2.0.0 버전에서는 “Spark”라는 해로운 소프트웨어가 비밀리에 포함되어 있었습니다.

설치하면 Spark는 GitLab 저장소에 연결하여 숨겨진 지침을 다운로드하고 이를 해독 및 복호화했습니다. 그것이 실패하면 이미 맬웨어에 내장된 백업 설정을 사용했습니다.

데이터를 훔치기 위해, 악성 프로그램은 해커가 제어하는 서버로 보내기 전에 강력한 암호화를 사용했습니다. 이 악성 프로그램은 AES-256, RSA 키, 압축 등의 다양한 암호화 방법을 적용하여, 보안 전문가들이 훔쳐진 정보를 추적하거나 해독하는 것을 어렵게 만들었습니다.

감염된 앱들은 고객 지원 상호작용을 가장하여 사용자들에게 사진 갤러리에 대한 접근 권한을 부여하도록 요청했습니다. 허가가 내려지면, 악성 프로그램은 영어, 중국어, 프랑스어 등 여러 언어로 작성된 암호화폐 관련 키워드를 적극적으로 검색하여, 가치 있는 복구 단어구를 식별하였습니다.

보안 전문가들은 사용자들이 앱을 다운로드 할 때, 공식 소스에서조차도 주의를 기울일 것을 경고하며, 잠재적인 위협을 완화하기 위해 정기적으로 앱 권한을 검토할 것을 권장합니다.

SparkCat의 발견은 신뢰할 수 있는 디지털 마켓플레이스 내에서 복잡한 악성 소프트웨어 캠페인으로 인한 지속적인 위험성을 강조하고 있습니다.