카스퍼스키가 애플 앱스토어와 구글플레이에서 암호화폐 지갑 정보를 탈취하는 트로이목마 ‘스파크캣(SparkCat)’의 새로운 변종을 확인했다. 해당 악성코드는 정상 앱처럼 유포돼 사용자 사진 갤러리를 스캔하고, 이미지 속 텍스트를 분석해 암호화폐 지갑 복구 문구를 찾는 방식으로 작동한다.

카스퍼스키는 4월 27일 자사 위협 연구팀이 App Store에서 2개, Google Play에서 1개의 감염 앱을 확인했다고 밝혔다. 스파크캣은 앞서 양대 앱 플랫폼에서 제거된 뒤 약 1년 만에 변종 형태로 다시 발견됐다.

이번 변종은 기업용 메신저와 음식 배달 앱 등 정상 애플리케이션으로 위장해 배포됐다. 사용자가 사진 접근 권한을 허용하면 기기 갤러리 내 이미지를 확인하고, 광학 문자 인식(OCR) 모듈을 통해 이미지에 포함된 문자를 분석한다. 관련 키워드가 발견되면 해당 이미지를 공격자에게 전송하는 구조다.

플랫폼별 탐색 대상은 다르게 나타났다. 안드로이드 변종은 일본어, 한국어, 중국어 키워드가 포함된 스크린샷을 찾도록 설계됐다. 카스퍼스키는 이를 근거로 이번 캠페인이 주로 아시아 지역 암호화폐 이용자를 겨냥한 것으로 분석했다. iOS 변종은 영어로 작성된 지갑 복구 문구를 탐색해 지역 제한 없이 영향을 줄 가능성이 있다.

기술적으로도 기존보다 탐지를 어렵게 만드는 방식이 적용됐다. 최신 안드로이드 변종에는 다층 난독화 구조, 코드 가상화, 크로스 플랫폼 프로그래밍 언어 사용 등이 포함됐다. 카스퍼스키는 이러한 기법이 모바일 악성코드에서 흔하지 않은 방식이라고 설명했다.

카스퍼스키는 확인된 악성 앱을 구글과 애플에 신고했으며, 현재 해당 앱은 공식 스토어에서 제거된 상태다. 다만 제3자 유통 경로를 통한 배포도 확인됐고, 일부 웹페이지는 아이폰 접속자를 대상으로 앱스토어와 유사한 화면을 보여주는 방식으로 위장한 것으로 나타났다.

보안 전문가들은 암호화폐 지갑 복구 문구나 개인 인증 정보가 담긴 이미지를 스마트폰에 저장하지 않는 것이 필요하다고 조언한다. 앱 설치 시에는 출처와 권한 요청 범위를 확인하고, 사진 접근 권한을 요구하는 앱은 실제 기능상 필요한지 점검해야 한다.