정교한 트로잔이 Apple과 Google의 보안을 우회하여 모바일 기기 사진에서 암호화폐 시드 구문을 수집하며, 이는 모바일 암호화폐-목표 공격의 중대한 격상을 나타냅니다.
Kaspersky의 사이버 보안 연구원들은 "SparkKitty" 라고 불리는 정교한 새로운 모바일 악성코드 캠페인을 밝혀냈습니다. 이 악성코드는 Apple의 App Store와 Google Play Store에 성공적으로 침투하여 중국과 동남아시아의 5,000명 이상의 암호화폐 사용자를 위협했습니다.
이 악성코드는 모바일 전화 갤러리에 저장된 지갑 시드 구문의 스크린샷을 가로채는 데 중점을 둡니다. 이는 모바일 보안의 근본적인 취약점을 악용하는 암호화폐-목표 공격에서 중요한 진화를 나타냅니다.
이 악성코드는 적어도 2024년 초부터 활성화되어 왔다고 Kaspersky의 이번 주 최신 보안 보고서가 밝히고 있습니다. 전통적인 악성코드 유포 방법과는 달리, SparkKitty는 두 주요 모바일 플랫폼에서 정상적으로 보이는 애플리케이션 내에 자신을 포함시킴으로써 Remarkable한 성공을 거두었습니다. 여기에는 암호화폐 가격 추적 도구, 도박 애플리케이션, TikTok과 같은 인기 있는 소셜 미디어 앱의 수정 버전을 포함하여 침투 성공을 기록했습니다.
이 캠페인의 가장 우려스러운 점은 Apple의 엄격한 App Store 심사 절차와 Google의 Play Protect 보안 시스템을 성공적으로 우회한 것입니다. 손상된 메신저 애플리케이션 SOEX는 감지 및 제거되기 전 10,000회 이상 다운로드되어, Malware가 공식 앱 생태계 내에서 오랜 기간 동안 탐지되지 않은 채 운영 될 수 있음을 보여주었습니다.
고급 데이터 수집 방법론
SparkKitty는 2025년 1월에 처음 확인된 전임자 SparkCat에 비해 상당한 기술 발전을 나타냅니다. 전통적인 악성코드는 선택적으로 민감한 데이터를 목표로 하는 반면, SparkKitty는 모든 이미지를 감염된 장치에서 무차별적으로 착취하여 사용자 사진의 포괄적인 데이터베이스를 생성한 다음 분석을 위해 원격 서버에 업로드합니다.
이 악성코드는 정교한 다단계 프로세스를 통해 작동합니다. 기만적인 공급 프로필을 통한 설치 후, SparkKitty는 표준 사진 갤러리 액세스 권한을 요청합니다. 대부분의 사용자에게 이 요청은 일반적입니다. 액세스가 허가되면, 트로잔은 장치의 사진 라이브러리를 계속 모니터링하며, 지역 데이터베이스를 생성한 후 이것을 공격자 제어 서버로 전송하기 전의 이미지를 캡처한 이미지를 전송합니다.
Kaspersky 연구원들은 공격자의 주요 목표가 감염된 장치에 저장된 스크린샷에서 암호화폐 지갑 시드 구문을 식별하여 추출하는 것으로 보입니다. 이 12-24단어 복구 구문은 사용자의 디지털 자산 보유에 완전한 액세스를 제공하므로 매우 가치 있는 목표입니다.
SparkKitty의 등장은 암호화폐 초점을 둔 사이버 범죄의 확산 배경 가운데 이루어졌습니다. TRM Labs의 2024년 분석에 따르면, 도난 당한 22억 달러의 암호화폐 중 거의 70%가 인프라 공격, 특히 개인 키 및 시드 구문 유출에서 비롯되었습니다. 2025년 1월에만, 9,220명의 피해자가 암호화폐 피싱 사기로 1,025만 달러를 잃었습니다. 이는 암호화폐-목표 위협의 지속 및 진화하는 성격을 강조합니다.
이 악성코드의 현재 지리적 초점은 중국과 동남아시아이나, 보안 전문가들은 SparkKitty의 기술적 능력과 증명된 효과성으로 인해 전세계로 확장될 가능성이 매우 높다고 경고합니다. 공식 앱 스토어를 침투하는 이 악성코드의 능력은 정교한 암호화폐-목표 공격으로부터 어떤 모바일 생태계도 면역이 아니라는 것을 시사합니다.
기술적 진화 및 귀정
포렌식 분석은 SparkKitty와 이전 SparkCat 악성코드 캠페인 간의 중요한 연결고리를 드러냅니다. 두 트로잔 모두 디버그 심볼, 코드 작성 패턴 및 몇몇 손상된 벡터 응용 프로그램을 공유하여 동일한 위협 행위자에 의해 개발이 조정되었음을 시사합니다. 그러나 SparkKitty는 강화된 데이터 수집 기능과 향상된 회피 기법을 포함하여 주목할 만한 기술적 개선을 보여줍니다.
SparkCat은 이미지에서 복구 구문을 추출하기 위해 광학 문자 인식 기술을 사용하는 암호화폐 지갑 복구 구문을 구체적으로 목표로 하여 SparkKitty는 나중에 처리하기 위해 사용 가능한 모든 이미지 데이터를 수집하며 더 넓은 접근을 취합니다. 이 진화는 공격자들이 보안 경고를 촉발할 수 있는 장치 내 처리를 줄이면서 최대 데이터 수집 효율성을 위해 운영을 최적화하고 있음을 시사합니다.
SparkKitty 캠페인은 모바일 암호화폐 보안 관행의 근본적인 취약점을 노출합니다. 많은 사용자가 편의를 위해 종종 시드 구문을 스크린샷으로 찍은 다음 디지털 사본을 만듭니다. 이는 SparkKitty와 같은 악성코드의 주요 목표물이 됩니다. 이러한 관행은 사용자 경험 측면에서 이해할 수 있지만, 정교한 공격자가 점차적으로 악용하고 있는 심각한 보안 취약점을 만듭니다.
보안 연구원들은 이 위협이 개별 사용자뿐만 아니라 더 넓은 암호화폐 생태계로까지 확장된다고 강조합니다. 하루에 560,000개의 새로운 악성코드 조각이 탐지되고 있는 가운데, 모바일 플랫폼은 암호화폐 채택이 전세계적으로 가속화되면서 점점 더 매력적인 목표가 되고 있습니다.
이 악성코드가 앱 스토어 보안 조치를 우회하는 성공은 현재 모바일 보안 프레임워크의 효과성에 대한 의문도 제기합니다. Apple과 Google은 악성 애플리케이션이 사용자에게 도달하지 않도록 하기 위해 정교한 검토 프로세스를 구현했지만, SparkKitty의 성공적인 침투는 결단력 있는 공격자들이 여전히 이 보호 장치를 우회할 수 있음을 보여줍니다.
산업의 대응 및 방어 조치
Kaspersky의 공개 후, Apple과 Google 모두 감염된 SparkKitty 애플리케이션의 제거 절차를 시작했습니다. 그러나 위협의 동적 특성으로 인해 새로운 변형은 계속해서 나타날 수 있으며, 이는 보안 연구원과 앱 스토어 운영자 모두에게 지속적인 경계를 요구합니다.
암호화폐 보안 전문가들은 모바일 지갑 사용자들에게 즉각적인 방어 조치를 권장합니다. 주요 권장 사항에는 시드 구문의 디지털 저장을 완전히 피하고 중요한 보유를 위해 하드웨어 지갑을 사용하는 것과 철저한 앱 권한 감사의 구현이 포함됩니다. 사용자는 기존 사진 갤러리를 검토하여 지갑 인증 정보가 저장되어 있다면 즉시 삭제하는 것이 좋습니다.
이 사건은 모바일 암호화폐 보안 표준에 대한 논의도 재점화했습니다. 산업 리더들은 암호화폐 관련 모바일 애플리케이션에 대한 강화된 보안 요구 사항을 요구하고 있으며, 민감한 금융 데이터를 처리하는 애플리케이션에 대한 필수 보안 감사와 더 엄격한 권한 모델을 포함하여 이 강조점을 이루고 있습니다.
SparkKitty가 현재 아시아 시장에 중점을 두고 있지만, 사이버보안 전문가들은 세계화가 필연적이라고 경고하고 있습니다. 이 악성코드의 입증된 효과와 모바일 암호화폐 사용의 보편성은 서부 시장도 유사한 위협에 직면할 수 있음을 시사합니다. 2025년까지, 사이버 범죄 - 멀웨어 주도의 공격을 포함하여 - 는 전세계 경제에 연간 10.5조 달러의 비용을 초래할 수 있으며, 암호화폐 겨냥 악성코드는 이 위협 환경의 확장되는 구성 요소가 될 것입니다.
SparkKitty의 앱 스토어 침투 능력의 정교한 성격은 유사한 캠페인이 이미 다른 지역에서 진행 중일 수 있음을 시사합니다. 보안 연구원들은 모바일 암호화폐 멀웨어를 방지하기 위한 국제 협력의 강화를 요구하고 있으며, 여기에는 앱 스토어 운영자와 사이버보안 조직 간의 개선된 정보 공유가 포함됩니다.
미래 위협 평가
SparkKitty 캠페인은 정교한 기술적 역량과 검증된 배포 메커니즘을 결합하여 모바일 암호화폐 위협의 중대한 격상을 나타냅니다. 암호화폐 채택이 전세계적으로 계속되는 가운데, 유사한 위협은 빈도와 정교함 모두 증가할 것으로 보입니다.
보안 전문가들은 미래의 암호화폐 겨냥 악성코드의 반복이 더 정교한 앱 스토어 우회 방법과 보다 정교한 데이터 유출 능력을 포함한 추가 회피 기법을 통합할 가능성이 있다고 예측합니다. 사진 수확 접근을 통해 SparkKitty가 성공함에 따라, 추가 멀웨어 패밀리가 유사한 방법론을 채택할 가능성이 있어, 모바일 암호화폐 사용자에게 고조되는 위협 환경을 만들 것입니다.
이 사건은 암호화폐 보유자를 위한 견고한 모바일 보안 관행의 중요성을 강조합니다. 디지털 자산 가치가 계속해서 상승하고 채택이 확장됨에 따라, 모바일 기기는 정교한 사이버 범죄 조직의 점점 매력적인 목표가 됩니다.
사용자는 이에 따라 보안 관행을 적응하여 하드웨어 지갑 사용을 우선시하고, 진화하는 모바일 멀웨어 위협으로부터 암호화폐 보유를 보호하기 위해 디지털 시드 구문의 저장을 제거해야 합니다.