새 스파이웨어 “SparkKitty”가 앱 스토어와 구글 플레이를 통해 암호화폐 지갑을 타겟으로합니다

보안 연구원들은 SparkKitty라는 새로운 스파이웨어를 발견했습니다. 이 스파이웨어는 스마트폰의 사진을 도용하여 암호화폐 지갑에 접근합니다.

Kaspersky에 의해 처음 보고된 이 스파이웨어는 이전의 악성 소프트웨어인 SparkCat와 연결된 것으로 보입니다. 이것은 App Store와 Google Play의 여러 앱에 감염되었으나, 이미 일부는 제거되었습니다.

연구자들은 SparkKitty가 TikTok을 포함한 유명 플랫폼을 모방한 가짜 애플리케이션을 퍼트렸다고 설명합니다. 일단 설치하면, 이 악성 앱들은 사용자의 사진 갤러리에 접근 권한을 요청합니다.

일부 버전은 모든 이미지를 훔치며, 다른 버전들은 광학 문자 인식(OCR)을 사용해 디지털 화폐에 접근할 수 있는 독특한 코드인 크립토 지갑 시드 문구를 스캔합니다.

아이폰에서는 이 멀웨어가 AFNetworking이나 Alamofire와 같은 합법적인 소프트웨어 프레임워크를 모방하는 가짜 프레임워크 내에 숨겨져 있습니다. 안드로이드 기기에서는 이 스파이웨어가 메시징이나 암호화폐와 관련된 앱들, 특히 이들 내의 악성 모듈로 자신을 숨깁니다.

카스퍼스키는 이 캠페인이 2024년 2월에 작업을 시작하였으며, 불법 앱 스토어와 공식 배포 채널 모두를 통해 확산되었다고 설명합니다. 이 멀웨어의 초기 탐지는 가짜 틱톡 앱을 통해 발생하였으며, 이 앱들은 사용자를 “틱토키 몰”이라는 가짜 온라인 쇼핑몰로 리다이렉트하였고 이 곳에서는 암호화폐 결제를 받아들였습니다.

사용자들이 아이폰에서 사이트에 접속했을 때, 가짜 앱 스토어 페이지가 표시되어 사용자들이 감염된 애플리케이션을 설치하게 속였습니다. 해커들은 또한 애플의 엔터프라이즈 개발자 프로그램을 남용하여, 일반적인 앱 스토어의 보안을 우회하며 자신들의 악성 소프트웨어를 배포했습니다.

감염 후, 앱은 활성화 코드를 확인하고, 명령을 위해 원격 서버에 연락하며, 해커가 제어하는 서버에 훔친 사진들을 업로드합니다.

연구자들은 가짜 암호화 메시징 애플리케이션이 보안 연구원들이 그것의 악성 특성을 발견하기 전에 10,000회 이상 다운로드되었다고 보고했습니다.

대부분의 피해자들은 동남아와 중국에 있으며, 많은 감염된 앱들이 도박이나 성인 콘텐츠를 특징으로 하고 있습니다. 그러나, 이 스파이웨어는 전 세계 사용자들을 대상으로 할 수 있습니다. SparkKitty는 SparkCat와 기술적 특성을 공유하며, 두 캠페인간에 직접적인 연결을 제안합니다.

보호를 유지하기 위해서, 사용자들은 타사 앱 스토어를 피하고, 앱 권한을 신중하게 확인하며, 자신의 장치를 최신 상태로 유지해야 합니다. 암호화폐와 관련이 없는 사진조차도 이 진행 중인 스파이웨어 위협으로부터 위험에 노출될 수 있습니다.