구글·애플 공식 마켓 심사 우회 기법 활용 스파이웨어 심은 가짜 앱 유통
스파이웨어 ‘스파크키티’, 암호화폐 지갑 시드 문구 노려
[보안뉴스 여이레 기자] 구글 플레이 스토어와 애플 앱스토어에서 인기 앱을 가장해 암호화폐 정보 탈취를 노리는 스파이웨어 공격이 새로 발견됐다. 공식 앱 유통 채널도 위험에 노출됐다는 경고가 나온다.
개발자 도구를 통해 틱톡 앱을 설치하기 위해 앱스토어를 모방한 웹페이지 [자료: 카스퍼스키]
카스퍼스키는 스파이웨어 ‘스파크키티’(SparkKitty) 공격이 2024년 초부터 주로 동남아시아와 중국 사용자를 표적 삼아 활동해 온 사실을 밝혔다.
연구진이 발견한 악성 앱 중엔 틱톡 기능을 더 잘 사용하기 위한 틱톡 변형 앱으로 위장한 경우도 있었다. 이 앱엔 틱톡의 전자 상거래 기능을 모방한 ‘TikToki Mall’ 온라인 스토어도 포함돼 있으며, 여기엔 암호화폐 결제 기능도 있었다. 사용자 암호화폐 정보를 빼돌리기 위한 피싱 초대링크 발송 등에 쓰인 것으로 보인다.
이들은 기업 등에서 자체적으로 활용할 앱을 앱스토어를 거치지 않고 배포하게 하는 애플 엔터프라이즈 프로비저닝 프로파일을 이용해 앱스토어의 앱 검토 절차를 회피했다. 오픈소스 네트워킹 라이브러리(AFNetworking.framework, Alamofire.framework)를 변조하거나 libswiftDarwin.dylib로 위장해 악성 코드를 심었다.
구글 플레이 스토어에는 여러 암호화폐나 카지노 앱으로 위장해 앱을 등록했다. 현재는 삭제된 상태지만, 이들이 유포한 암호화 기능이 포함된 메세징 앱은 구글 플레이 스토어에서 1만 건 이상 다운로드 되기도 했다.
또 다른 악성 앱은 공식 마켓 외부에서도 유포됐으며, 유사한 버전이 앱스토어에도 침투했다. 이들 앱은 악성 코드를 별도 모듈이 아닌 앱 내부에 직접 포함시켰다.
스파크키티의 주요 목적은 기기 내 모든 사진을 탈취해 암호화폐 지갑 시드 문구를 확보하는 것이다. 올해 초 비슷한 수법을 쓴 ‘스파크캣’(SparkCat) 그룹과 연계된 활동으로 보인다. 스파크캣은 광학문자인식(OCR) 기술을 활용해 스크린샷 등 이미지에서 암호화폐 지갑 복구 문구 등 민감 정보를 추출했다. 스파크키티 역시 구글 ML 키트 라이브러리를 이용해 같은 기능을 수행했다.
카스퍼스키는 “공식 앱스토어 역시 더 이상 완전히 신뢰할 수 있는 공간이 아니다”며 앱 설치 시 권한 요청과 앱의 신뢰성을 반드시 확인할 것을 당부했다. 이어 “특히 사진 갤러리 접근 권한을 요구하는 앱에는 각별한 주의가 필요하다”고 밝다.
[여이레 기자(gore@boannews.com)]
스파이웨어 ‘스파크키티’, 암호화폐 지갑 시드 문구 노려
[보안뉴스 여이레 기자] 구글 플레이 스토어와 애플 앱스토어에서 인기 앱을 가장해 암호화폐 정보 탈취를 노리는 스파이웨어 공격이 새로 발견됐다. 공식 앱 유통 채널도 위험에 노출됐다는 경고가 나온다.
개발자 도구를 통해 틱톡 앱을 설치하기 위해 앱스토어를 모방한 웹페이지 [자료: 카스퍼스키]
카스퍼스키는 스파이웨어 ‘스파크키티’(SparkKitty) 공격이 2024년 초부터 주로 동남아시아와 중국 사용자를 표적 삼아 활동해 온 사실을 밝혔다.
연구진이 발견한 악성 앱 중엔 틱톡 기능을 더 잘 사용하기 위한 틱톡 변형 앱으로 위장한 경우도 있었다. 이 앱엔 틱톡의 전자 상거래 기능을 모방한 ‘TikToki Mall’ 온라인 스토어도 포함돼 있으며, 여기엔 암호화폐 결제 기능도 있었다. 사용자 암호화폐 정보를 빼돌리기 위한 피싱 초대링크 발송 등에 쓰인 것으로 보인다.
이들은 기업 등에서 자체적으로 활용할 앱을 앱스토어를 거치지 않고 배포하게 하는 애플 엔터프라이즈 프로비저닝 프로파일을 이용해 앱스토어의 앱 검토 절차를 회피했다. 오픈소스 네트워킹 라이브러리(AFNetworking.framework, Alamofire.framework)를 변조하거나 libswiftDarwin.dylib로 위장해 악성 코드를 심었다.
구글 플레이 스토어에는 여러 암호화폐나 카지노 앱으로 위장해 앱을 등록했다. 현재는 삭제된 상태지만, 이들이 유포한 암호화 기능이 포함된 메세징 앱은 구글 플레이 스토어에서 1만 건 이상 다운로드 되기도 했다.
또 다른 악성 앱은 공식 마켓 외부에서도 유포됐으며, 유사한 버전이 앱스토어에도 침투했다. 이들 앱은 악성 코드를 별도 모듈이 아닌 앱 내부에 직접 포함시켰다.
스파크키티의 주요 목적은 기기 내 모든 사진을 탈취해 암호화폐 지갑 시드 문구를 확보하는 것이다. 올해 초 비슷한 수법을 쓴 ‘스파크캣’(SparkCat) 그룹과 연계된 활동으로 보인다. 스파크캣은 광학문자인식(OCR) 기술을 활용해 스크린샷 등 이미지에서 암호화폐 지갑 복구 문구 등 민감 정보를 추출했다. 스파크키티 역시 구글 ML 키트 라이브러리를 이용해 같은 기능을 수행했다.
카스퍼스키는 “공식 앱스토어 역시 더 이상 완전히 신뢰할 수 있는 공간이 아니다”며 앱 설치 시 권한 요청과 앱의 신뢰성을 반드시 확인할 것을 당부했다. 이어 “특히 사진 갤러리 접근 권한을 요구하는 앱에는 각별한 주의가 필요하다”고 밝다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg)
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
