카스퍼스키 랩 연구원들은 애플 앱 스토어와 구글 플레이 스토어에 있는 여러 앱에 악성 소프트웨어 개발 키트(SDK)/프레임워크가 내장되어 있어 광학 문자 인식(OCR) 플러그인을 사용하여 암호화폐 지갑 복구 문구를 훼손하는 것을 발견했습니다.
카스퍼스키 연구원에 따르면 감염된 앱은 구글 플레이 스토어에서 24만 2천 번 이상 다운로드되었지만 이번이 처음으로 애플 앱 스토어에서 발견되었습니다. 연구원들은 이 악성코드를 "SparkCat"이라고 명명했으며 2024년 3월부터 활동해왔다고 주장합니다.
"안드로이드 악성코드 모듈은 구글 ML 키트 라이브러리를 기반으로 한 OCR 플러그인을 복호화하고 실행했으며, 이를 사용하여 기기 갤러리의 이미지에서 텍스트를 인식했습니다. C2(해커가 원격으로 기기를 제어하는 데 사용하는 명령 및 제어 통신 채널)에서 받은 키워드를 사용하여 트로이 목마는 이미지를 명령 서버로 보냈습니다. iOS 악성코드 모듈도 유사하게 설계되었으며 OCR에 구글 ML 키트 라이브러리를 사용했습니다."라고 카스퍼스키 랩 보고서는 말합니다. iOS 악성코드 또한 ML 키트 인터페이스를 사용합니다.
이러한 감염된 앱을 설치한 경우 카스퍼스키 연구원은 앱을 제거하고 "악성 기능이 제거될 때까지 사용하지 말 것"을 권장합니다. 또한 "암호화폐 지갑에 대한 복구 문구와 같은 중요 정보가 포함된 스크린샷"을 기기 갤러리에 저장하지 말 것을 조언합니다.
"비밀번호, 기밀 문서 및 기타 중요 데이터는 특수 애플리케이션에 저장해야 합니다"라고 카스퍼스키 랩 연구원은 말했습니다. 또한 "모든 기기에 신뢰할 수 있는 보안 솔루션에 투자"하는 것이 좋습니다.
연구원들은 iOS 프레임워크 본문에 암호화된 번들 ID 목록을 작성했습니다.
