카스퍼스키 연구원들은 악성 모바일 앱을 통해 암호화폐 지갑 복구 구문을 대상으로 하는 크로스 플랫폼 악성코드 캠페인을 자세히 설명했습니다.

최근 보고서에 따르면, "SparkCat" 캠페인은 수정된 메신저 앱과 다른 애플리케이션에 포함된 악성 소프트웨어 개발 키트(SDK)를 사용하여 사용자의 이미지 갤러리에서 민감한 복구 데이터를 스캔합니다. 이 기술은 2023년 3월에 처음 관찰되었습니다.

당시 사이버 보안 연구원들은 메신저 앱 내에서 사용자 갤러리를 스캔하여 암호화폐 지갑 복구 구문(일반적으로 니모닉이라고 알려진)을 원격 서버로 전송하는 악성코드 기능을 관찰했습니다.

초기 캠페인은 비공식 앱 소스를 통해 Android와 Windows 사용자에게만 영향을 미쳤다고 연구원들은 말했습니다.

그러나 2024년 말에 발견된 새로운 SparkCat 캠페인은 Android와 iOS 기기의 공식 및 비공식 앱 마켓플레이스에 통합된 SDK 프레임워크를 사용합니다.

한 사례에서 Google Play의 "ComeCome"이라는 음식 배달 앱에 악성 SDK가 포함된 것으로 확인되었습니다. 감염된 앱은 총 242,000회 이상 설치되었으며, 유사한 악성코드가 Apple App Store에서 사용 가능한 앱에서도 나중에 발견되었습니다.

암호화폐 사이버 보안 기업 Hacken의 dApp 감사 기술 책임자 Stephen Ajayi는 디크립트에 앱 스토어가 일반적으로 자동화된 검사만 수행하고 수동 검토는 거의 포함하지 않는다고 말했습니다.

블록체인 분석 기업 AMLBot의 CEO Slava Demchuk는 코드 난독화와 악성 업데이트로 인해 문제가 더욱 악화된다고 강조했습니다.

"SparkCat의 경우 공격자들은 보안 연구원과 법 집행 기관을 피하기 위해 진입점을 난독화했습니다. 이 전략을 통해 그들의 방법을 경쟁자들로부터 숨길 수 있습니다."라고 그는 디크립트에 말했습니다.

이 악성코드는 Google의 ML Kit 라이브러리를 사용하여 사용자 기기에 저장된 이미지에서 광학 문자 인식(OCR)을 수행합니다. 사용자가 앱 내 지원 채팅 기능에 액세스하면 SDK는 이미지 갤러리 읽기 권한 요청을 프롬프트합니다.

권한이 부여되면 애플리케이션은 여러 언어로 된 니모닉 존재를 시사하는 키워드를 찾기 위해 이미지를 스캔합니다. 일치하는 이미지는 암호화되어 원격 서버로 전송됩니다.

Demchuk는 "이 공격 벡터는 꽤 unusual합니다. 주로 ATM 사기에서 유사한 전술을 보았습니다."라고 말했습니다.

그는 이러한 공격을 수행하려면 상당한 기술적 능력이 필요하며, 프로세스가 더 쉽게 복제될 경우 훨씬 더 큰 피해를 줄 수 있다고 덧붙였습니다.

Ajayi는 "OCR을 통한 스캔은 매우 영리한 트릭"이라고 동의하면서도 개선의 여지가 있다고 믿습니다. "OCR과 AI의 조합으로 이미지나 화면에서 민감한 정보를 자동으로 선별할 수 있다면 어떨까요?"

사용자에게 Demchuk는 애플리케이션에 권한을 부여하기 전에 두 번 생각할 것을 권장했습니다. Ajayi는 지갑 개발자들이 "시드 구문과 같은 민감한 데이터를 처리하고 표시하는 더 나은 방법을 찾아야 한다"고 제안했습니다.

편집: Stacy Elliott.