구글 플레이와 앱스토어에서 가짜 암호화폐, 카지노, 틱톡 클론 앱이 시드 문구 스크린샷을 훔치는 SparkKitty 멀웨어를 유포합니다.

사진 갤러리를 통해 암호화폐 사용자를 은밀하게 표적으로 삼는 SparkKitty 멀웨어

SparkKitty라는 새로운 모바일 멀웨어가 스마트폰에 조용히 침입하여 이미지 라이브러리에서 암호화폐 시드 문구를 검색하여 자금을 탈취하고 있습니다.

사이버 보안 업체인 카스퍼스키가 수개월 동안 Android와 iOS 플랫폼에서 의심스러운 활동을 모니터링한 끝에 이 위협을 발견했습니다.

이 멀웨어는 무해해 보이는 앱에 숨어 있으며, 이미 중국과 동남아시아를 중심으로 수천 명의 사용자에게 영향을 미쳤습니다.

악성 앱이 사용자를 속여 액세스 권한을 부여하는 방법

포트폴리오 트래커, 메시징 도구, 성인용 게임, 카지노 플랫폼, 위조된 틱톡 복제품 등 다양한 암호화폐 테마 앱에 SparkKitty가 내장되어 있습니다.

감염된 앱 중 하나인 SOEX는 암호화폐 거래소 기능이 있는 메시징 플랫폼으로, 구글이 삭제하기 전에 이미 10,000회 이상 다운로드된 상태였습니다.

币코인으로 알려진 또 다른 앱은 암호화폐 가격 추적기로 위장하여 Apple의 앱스토어에서 호스팅되었습니다.

앱이 설치되면 일반 도구처럼 작동하면서 사진 갤러리에 액세스할 수 있는 권한을 조용히 요청합니다.

액세스 권한이 부여되면 멀웨어는 스크린샷이나 손글씨 메모에 숨겨진 잠재적인 지갑 복구 문구를 검색하기 시작합니다.

SparkKitty의 정교한 추출 전술

Android 기기에서 이 멀웨어는 수정된 Java 라이브러리와 Google의 ML 키트를 사용하여 광학 문자 인식(OCR)을 통해 시드 문구를 식별합니다.

iOS에서 공격자는 AFNetworking 또는 Alamofire와 같은 네트워킹 프레임워크에 숨겨진 클래스를 삽입했습니다.

이 클래스는 Objective-C의 +load 메서드를 사용하여 실행 시 자동으로 활성화되고 구성 설정을 확인한 다음 명령 및 제어(C2) 서버에 연결하여 지시를 받습니다.

탈취된 이미지는 암호화된 통신을 통해 외부 서버로 전송되며, 변종 멀웨어는 스푸핑된 OpenSSL 라이브러리와 `/api/putImages` 및 `/api/getImageStatus` 같은 난독화된 경로를 사용합니다.

기업 프로필을 통한 트릭 설치

iOS 버전은 Apple의 엔터프라이즈 프로비저닝 시스템을 악용하여 일반적인 제한을 우회합니다.

피해자들은 속아서 "SINOPEC SABIC Tianjin Petrochemical Co. Ltd."

일단 설치되면 멀웨어는 시스템 수준에 가까운 접근 권한으로 작동하여 사용자에게 알리지 않고 사진을 스캔할 수 있습니다.

카스퍼스키 연구진은 이 수법이 기존의 위협에 비해 탐지하기가 더 어렵다고 지적했습니다.

카스퍼스키 분석가인 세르게이 푸잔과 드미트리 칼리닌은 다음과 같이 썼습니다,

"공격자의 주요 목표는 암호화폐 지갑 시드 문구의 스크린샷을 찾는 것으로 의심되지만, 훔친 이미지에는 다른 민감한 데이터도 포함될 수 있습니다."

이전 스파크캣 캠페인 링크

스파크키티는 2025년 1월에 처음 발견된 악성코드로, 사진 갤러리를 표적으로 삼아 시드 문구를 추출하는 스파크캣의 진화된 버전으로 보입니다.

두 변종 모두 코드, 디버그 기호 및 감염 기법에서 유사점을 공유합니다.

SparkCat 프로세스 번역 이미지(출처:X )

그러나 SparkKitty는 로컬에서 스캔하는 대신 전체 사진 라이브러리를 무차별적으로 업로드하여 더 큰 야망을 보여줍니다.

스파크캣은 주로 비공식 안드로이드 다운로드를 통해 운영되었지만, 스파크키티는 공식 앱 스토어에 침입하여 일반 사용자에게 노출될 위험이 크게 높아졌습니다.

암호화폐는 여전히 주요 타깃

이 멀웨어 캠페인은 암호화폐 보유자에 대한 지속적인 위험을 강조합니다.

암호화폐 지갑의 복구 키인 시드 문구는 사용자 자금과 직접 연결되기 때문에 사이버 범죄자들이 여전히 많이 찾고 있습니다.

TRM Labs의 2024년 보고서에 따르면, 지난해 22억 달러 규모의 암호화폐 도난 사건 중 70% 이상이 개인 키와 시드 문구 유출로 인해 발생했다고 합니다. SparkKitty는 이 패턴에 직접적으로 부합합니다.

여러 감염된 앱이 제거되었음에도 불구하고, 카스퍼스카이는 SparkKitty의 캠페인이 지역별로 제한 없이 사이드 로드 버전과 복제 스토어를 통해 여전히 활동할 수 있다고 경고합니다.

푸잔과 칼리닌이 말했습니다,

기술적으로나 개념적으로 복잡하지는 않지만, 이 캠페인은 적어도 2024년 초부터 진행되어 왔으며 사용자에게 심각한 위협이 되고 있습니다;