카스퍼스키, 앱마켓 보안 우회하는 '변종 악성코드' 발견 작성일 04-27 24 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">정상 앱처럼 위장해 사용자 사진 갤러리 스캔…아시아 암호화폐 자산 표적</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="bY3udsfzaH"> <p contents-hash="d87a8f6359b81a1164eb42bbba8812249b1468e686f6e32f6958d888d64ef4cd" dmcf-pid="KG07JO4qgG" dmcf-ptype="general">(지디넷코리아=김기찬 기자)글로벌 사이버 보안 기업 카스퍼스키(한국지사장 이효은)가 앱스토어와 구글 플레이 스토어의 보안을 우회해 암호화폐를 탈취할 수 있는 악성코드를 발견했다.</p> <p contents-hash="1582e7e17e31172669cdfc8a2de4fc50979da986f00a6f0f4eef26bfe666e024" dmcf-pid="9HpziI8BaY" dmcf-ptype="general">카스퍼스키는 자사 위협 연구팀이 앱스토어와 구글 플레이 스토어에서 새로운 스파크캣(SparkCat) 트로이목마 변종을 확인했다고 27일 밝혔다. 암호화폐 탈취 악성코드가 처음 발견돼 양 플랫폼에서 제거한 이후 1년 만에 변종 악성코드를 발견한 것이다.</p> <p contents-hash="b1a26d320fad33006bd9dccc5f8ecebae591f81cd44a536f1882e052db877114" dmcf-pid="2XUqnC6baW" dmcf-ptype="general">해당 트로이목마는 정상 앱처럼 위장해 사용자 사진 갤러리를 스캔하고 암호화폐 지갑 복구 문구를 탐색하는 것으로 알려졌다. 또한 감염된 정상 앱을 통해 유포되는데, 기업용 메신저와 음식 배달 앱이 포함됐다.</p> <p contents-hash="4ce0da824cfde9d910d65fdb0339b88fde9d1df297fffbc213eae2e594f19018" dmcf-pid="VZuBLhPKay" dmcf-ptype="general">카스퍼스키 전문가들은 앱스토어에서 2개, 구글 플레이 스토어에서 1개의 이같은 감염 앱을 확인했다고 밝혔다. 해당 악성코드는 현재 제거된 상태다.</p> <figure class="figure_frm origin_fig" contents-hash="8ef4e1cf9f79368a2198e87d94ce3f56d092d231abbfe377a57d0f01920a026b" dmcf-pid="f57bolQ9jT" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/27/ZDNetKorea/20260427093503982ijpc.png" data-org-width="582" dmcf-mid="BnxdI3AioX" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/27/ZDNetKorea/20260427093503982ijpc.png" width="658"></p> </figure> <p contents-hash="aff4fdaede21760a185dff05fde6eb46d08961bd8bc0b6abc9c4d8426f994f68" dmcf-pid="4q8xr5gRAv" dmcf-ptype="general">카스퍼스키 텔레메트리 데이터에 따르면 스파크캣에 감염된 앱은 제3자 유통 경로를 통해서도 배포되고 있다. 일부 웹페이지는 아이폰에서 접속할 경우 앱스토어를 모방하는 형태로 위장돼 있다.</p> <p contents-hash="06088b0123d32b12eaf83269ace258b0ae3ffdb28ee20ac8c918b99a431b9683" dmcf-pid="8B6Mm1aegS" dmcf-ptype="general">안드로이드용 업데이트된 스파크캣 변종은 감염된 기기의 이미지 갤러리에서 일본어, 한국어, 중국어 특정 키워드가 포함된 스크린샷을 탐색한다. 이를 통해 이번 캠페인이 주로 아시아 지역 사용자들의 암호화폐 자산을 표적으로 하고 있음을 확인했다.</p> <p contents-hash="219f3b8389849744b0c248658958232365fba819a19d60a684891957ddc175be" dmcf-pid="6bPRstNdcl" dmcf-ptype="general">반면 iOS 변종은 영어로 작성된 암호화폐 지갑 니모닉 문구를 탐색하는 방식을 사용한다. 이로 인해 iOS 변종은 지역과 관계없이 더 넓은 사용자에게 영향을 미칠 수 있다. 카스퍼스키는 확인된 악성 애플리케이션을 구글과 애플에 신고했다.</p> <p contents-hash="a86dcfbd956d592a14b313920a725b27965393b0031c0e2f82ca1527ba93be32" dmcf-pid="PKQeOFjJah" dmcf-ptype="general">카스퍼스키 세르게이 푸잔 악성코드 분석가는 "업데이트된 SparkCat 변종은 특정 상황에서 스마트폰 갤러리 내 사진 접근 권한을 요청한다. 이는 초기 버전의 트로이목마와 동일한 방식"이라며 "이 악성코드는 광학 문자 인식 모듈을 활용해 저장된 이미지 내 텍스트를 분석한다. 이후 스틸러가 관련 키워드를 발견하면 해당 이미지를 공격자에게 전송한다. 현재 샘플과 기존 샘플의 유사성을 고려할 때, 동일한 개발자가 새로운 변종을 만든 것으로 판단된다"고 설명했다.</p> <p contents-hash="cefa97710363525c874a4b8d87e8f07eaf806d49beea02af0279dc454fd0f0c0" dmcf-pid="Q9xdI3AiAC" dmcf-ptype="general">이효은 카스퍼스키 한국지사장은 "한국의 높은 스마트폰 보급률과 활발한 암호화폐 사용으로 인해 한국 사용자들은 스파크캣과 같은 진화하는 모바일 위협의 주요 표적이 되고 있다"며 "악성코드는 정교한 난독화 기술을 통해 공식 앱 스토어의 검증을 점점 더 잘 회피하고 있어, 개인 자산이 위험에 처하고 있다"고 강조했다.</p> <p contents-hash="34ebe10ef63e7eff138c9b119b4b04345adcd5d71432679fba4c2ca2f5a56e79" dmcf-pid="x2MJC0cnoI" dmcf-ptype="general">이 지사장은 또한 "사용자들은 경계를 늦추지 말고, 민감한 정보를 눈에 띄는 곳에 저장하지 않으며, 이러한 은밀하고 특정 지역을 겨냥한 사이버 공격으로부터 보호하기 위해 전문적인 모바일 보안 솔루션을 도입해야 한다"고 말했다.</p> <p contents-hash="06bde864169bce0bcb1cda40fd98704ee3a91ef3e3ff4ec4533892fc49a0455a" dmcf-pid="yOWXfNu5oO" dmcf-ptype="general">김기찬 기자(71chan@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 위메이드커넥트, '프리프 유니버스' FWC 2026 전용 서버 오픈 04-27 다음 가성비 높은 근력운동 원한다면 ‘주 2회·10세트’ 04-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
