.gif)
3줄 요약
1. 구글, iOS서 활동 중인 새로운 트로이목마 발견
2. OCR 기능 활용 암호화폐 지갑 복구 문구 탈취가 주목적
3. 중국어 주석 발견됐지만, 특정 조직과 연관성 부족해
[보안뉴스 조재호 기자] 카스퍼스키가 신규 데이터 트로이목마 ‘스파크캣’을 발견했다. OCR 기능을 이용한 악성코드다.
▲ 사이버캣에 감염된 ComeCome앱 [자료:카스퍼스키]
10일 카스퍼스키 위협 리서치 전문 연구센터는 새로운 데이터 탈취 트로이목마 ‘스파크캣(SparkCat)’을 발견했다고 발표했다. 광학 문자 인식(Optical Character Recognition, OCR) 기능을 이용한 악성코드가 앱스토에서 발견된 첫 사례다.
카스퍼스키에 따르면 스파크캣은 모바일에 설치된 후 특정 조건에서 갤러리의 사진 접근 권한을 요청한다. 이후 OCR 모듈을 이용해 저장된 이미지의 텍스트를 분석한다. 특정 키워드를 감지하면, 해당 이미지를 공격자에게 전송한다.
해커의 주요 목표는 암호화폐 지갑의 복구 문구를 확보하는 것이다. 이 정보로 피해자의 지갑을 장악해 자금을 탈취하는 것이다. 아울러 스크린샷에서 메시지 및 비밀번호 등 다른 개인정보를 추출할 수도 있다. 카스퍼스키는 해당 악성 애플리케이션을 구글 및 애플에 보고했다.
카스퍼스키는 최근 사이버 범죄자들이 뉴럴 네트워크(Neural Network)를 활용한 공격 기술을 적극적으로 도입하고 있다며, 안드로이드와 iOS 사용자 보호를 위해 스파크캣을 ‘HEUR:Trojan.IphoneOS.SparkCat.’, ‘HEUR:Trojan.AndroidOS.SparkCat.’으로 탐지한다고 설명했다. 이 악성코드 캠페인에 대한 전체보고서는 Securelist에서 확인할 수 있다.
카스퍼스키의 원격 분석 데이터에 따르면 현재 스파크캣은 구글플레이에서 해당 앱들은 24만2000회 이상 다운로드된 것으로 나타났다. 메신저, AI 비서, 음식 배달, 암호화폐 등 감염된 정상 앱과 미끼 앱(Lure App)을 통해 퍼지고 있다. 일부 앱은 구글 플레이·앱스토어 같은 공식 플랫폼에서 제공되고 있다. 비공식적인 출처에서도 감염된 버전이 유포됐다.
이 악성코드는 구글이 기기 내 머신 러닝 전문 지식을 안드로이드 및 iOS 앱에 제공하는 모바일 SDK(소프트웨어개발키트)인 ‘ML Kit’ 라이브러리로 만든 OCR광학 문자 인식 플러그인을 악용했다.
카스퍼스키는 악성코드의 기술적 분석 결과, 주로 아랍에미리트(UAE)와 유럽, 아시아의 사용자를 표적으로 삼고 있다고 밝혔다. 한국어와 중국어, 일본어, 영어, 프랑스어, 포르투갈어 등 다국어 키워드 검색 기능을 갖춰 피해자가 특정 국가에 국한되지 않을 가능성이 높다고 본다.
아울러 Android 버전 악성코드의 코드 내에 중국어로 작성된 주석을 발견했으며, iOS 버전의 개발자 홈 디렉토리에서 “qiongwu” 및 “quiwengjing”이라는 이름이 포함된 것을 확인했다. 이를 바탕으로 해커가 중국어에 능통한 것으로 보이지만, 특정 사이버 범죄 조직과의 연관성을 입증하기엔 부족하다고 덧붙였다.
이효은 카스퍼스키 한국지사장은 “연구 센터가 지난 2024년 3월부터 앱스토어와 구글 플레이에서 활동 중인 OCR 기반 트로이목마 ‘스파크캣’을 발견했다”며 “한국을 포함해 UAE, 유럽, 아시아 사용자들의 각별한 주의가 필요하다”고 말했다.
[조재호 기자(sw@boannews.com)]
1. 구글, iOS서 활동 중인 새로운 트로이목마 발견
2. OCR 기능 활용 암호화폐 지갑 복구 문구 탈취가 주목적
3. 중국어 주석 발견됐지만, 특정 조직과 연관성 부족해
[보안뉴스 조재호 기자] 카스퍼스키가 신규 데이터 트로이목마 ‘스파크캣’을 발견했다. OCR 기능을 이용한 악성코드다.
▲ 사이버캣에 감염된 ComeCome앱 [자료:카스퍼스키]
10일 카스퍼스키 위협 리서치 전문 연구센터는 새로운 데이터 탈취 트로이목마 ‘스파크캣(SparkCat)’을 발견했다고 발표했다. 광학 문자 인식(Optical Character Recognition, OCR) 기능을 이용한 악성코드가 앱스토에서 발견된 첫 사례다.
카스퍼스키에 따르면 스파크캣은 모바일에 설치된 후 특정 조건에서 갤러리의 사진 접근 권한을 요청한다. 이후 OCR 모듈을 이용해 저장된 이미지의 텍스트를 분석한다. 특정 키워드를 감지하면, 해당 이미지를 공격자에게 전송한다.
해커의 주요 목표는 암호화폐 지갑의 복구 문구를 확보하는 것이다. 이 정보로 피해자의 지갑을 장악해 자금을 탈취하는 것이다. 아울러 스크린샷에서 메시지 및 비밀번호 등 다른 개인정보를 추출할 수도 있다. 카스퍼스키는 해당 악성 애플리케이션을 구글 및 애플에 보고했다.
카스퍼스키는 최근 사이버 범죄자들이 뉴럴 네트워크(Neural Network)를 활용한 공격 기술을 적극적으로 도입하고 있다며, 안드로이드와 iOS 사용자 보호를 위해 스파크캣을 ‘HEUR:Trojan.IphoneOS.SparkCat.’, ‘HEUR:Trojan.AndroidOS.SparkCat.’으로 탐지한다고 설명했다. 이 악성코드 캠페인에 대한 전체보고서는 Securelist에서 확인할 수 있다.
카스퍼스키의 원격 분석 데이터에 따르면 현재 스파크캣은 구글플레이에서 해당 앱들은 24만2000회 이상 다운로드된 것으로 나타났다. 메신저, AI 비서, 음식 배달, 암호화폐 등 감염된 정상 앱과 미끼 앱(Lure App)을 통해 퍼지고 있다. 일부 앱은 구글 플레이·앱스토어 같은 공식 플랫폼에서 제공되고 있다. 비공식적인 출처에서도 감염된 버전이 유포됐다.
이 악성코드는 구글이 기기 내 머신 러닝 전문 지식을 안드로이드 및 iOS 앱에 제공하는 모바일 SDK(소프트웨어개발키트)인 ‘ML Kit’ 라이브러리로 만든 OCR광학 문자 인식 플러그인을 악용했다.
카스퍼스키는 악성코드의 기술적 분석 결과, 주로 아랍에미리트(UAE)와 유럽, 아시아의 사용자를 표적으로 삼고 있다고 밝혔다. 한국어와 중국어, 일본어, 영어, 프랑스어, 포르투갈어 등 다국어 키워드 검색 기능을 갖춰 피해자가 특정 국가에 국한되지 않을 가능성이 높다고 본다.
아울러 Android 버전 악성코드의 코드 내에 중국어로 작성된 주석을 발견했으며, iOS 버전의 개발자 홈 디렉토리에서 “qiongwu” 및 “quiwengjing”이라는 이름이 포함된 것을 확인했다. 이를 바탕으로 해커가 중국어에 능통한 것으로 보이지만, 특정 사이버 범죄 조직과의 연관성을 입증하기엔 부족하다고 덧붙였다.
이효은 카스퍼스키 한국지사장은 “연구 센터가 지난 2024년 3월부터 앱스토어와 구글 플레이에서 활동 중인 OCR 기반 트로이목마 ‘스파크캣’을 발견했다”며 “한국을 포함해 UAE, 유럽, 아시아 사용자들의 각별한 주의가 필요하다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
