카스퍼스키 연구소는 구글 플레이 및 애플 앱 스토어에서 사용할 수 있는 모바일 앱에 통합된 악성 소프트웨어 개발 키트를 통해 암호화폐 사용자를 대상으로 하는 정교한 악성코드 캠페인을 확인했습니다. "SparkCat"이라는 이름의 이 악성코드는 광학 문자 인식을 사용하여 사용자의 사진에서 암호화폐 지갑 복구 구문을 스캔한 후, 이를 해커가 사용하여 영향을 받은 지갑에 접근하고 소유권을 빼앗습니다.

2025년 2월 4일자 종합 보고서에서, 카스퍼스키 연구원 Sergey Puzan과 Dmitry Kalinin 상세하게 기술했습니다 SparkCat 악성코드가 장치를 침입하고 다국어 키워드 감지를 통해 복구 구문을 검색하는 방법을 설명했습니다. 이러한 구문이 획득되면 공격자는 피해자의 암호화폐 지갑에 무제한적으로 접근할 수 있습니다. 연구원들이 강조한 바와 같이, 해커는 그렇게 함으로써 자금에 대한 완전한 통제권을 가지게 됩니다.

더욱이, 이 악성코드는 암호 및 캡처된 스크린샷에 있는 개인 메시지와 같은 추가적인 민감 정보를 훔치도록 설계되었습니다. 특히 안드로이드 기기에서, SparkCat은 Java 기반의 분석 모듈 Spark로 위장합니다. 악성코드는 GitLab에 있는 암호화된 설정 파일로부터 운영 업데이트를 받고, 구글의 ML Kit OCR을 사용하여 감염된 장치에서 이미지를 통해 텍스트를 추출합니다. 복구 구문이 감지되면, 악성코드는 이를 공격자에게 다시 전송하여 그들이 피해자의 암호화폐 지갑을 자신들의 기기에 불러올 수 있게 합니다.

카스퍼스키는 SparkCat이 2023년 3월부터 등장한 이후 약 242,000번 다운로드되었으며, 주로 유럽과 아시아의 사용자에게 영향을 미쳤다고 추정합니다.

2024년 중반의 별도 보고서에서, 카스퍼스키는 SMS 메시지와 통화 기록을 가로채고 Gmail 데이터를 훔치는 Tria Stealer와 같은 사기성 APK를 포함한 또 다른 안드로이드 악성코드 캠페인을 모니터링해 왔습니다.

이 악성코드는 몇 가지 앱에 걸쳐 있으며, 일부는 음식 배달 서비스와 같은 합법적으로 보이는 앱이고, 다른 일부는 AI 활성화된 메시징 앱과 같이 부주의한 사용자를 끌어들이기 위한 것입니다. 이러한 감염된 앱의 공통 특징은 Rust 프로그래밍 언어의 사용, 크로스 플랫폼 기능, 그리고 탐지를 피하기 위한 정교한 난독화 방법입니다.

SparkCat의 출처는 아직 불명확합니다. 연구원들은 이 악성코드가 알려진 해킹 그룹에 의해 만들어진 것으로 간주하지 않았으나, 코드 내의 중국어 주석 및 에러 메시지를 통해 개발자가 중국어에 능통하다는 점을 지적했습니다. ESET에 의해 2023년 3월에 발견된 캠페인과 유사성을 공유하지만, 정확한 출처는 아직 밝혀지지 않았습니다.

카스퍼스키는 사용자가 암호화폐 지갑 복구 구문과 같은 민감한 정보를 사진 갤러리에 저장하지 말 것을 강력히 권장합니다. 대신 암호 관리자를 사용하고 정기적으로 의심스러운 애플리케이션을 검색하고 제거할 것을 권장합니다.

이 결과는 원래 99Bitcoins의 "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky"라는 제목의 기사에서 보도되었습니다.