카스퍼스키, 앱스토어·구글플레이 우회한 ‘스파크캣’ 변종 확인

기사입력 2026.04.27 10:25

정상 앱 위장해 사진 갤러리 스캔
OCR로 암호화폐 복구 문구 탐색

카스퍼스키가 애플 앱스토어와 구글플레이에서 암호화폐 지갑 정보를 탈취하는 트로이목마 ‘스파크캣(SparkCat)’의 새로운 변종을 확인했다. 해당 악성코드는 정상 앱처럼 유포돼 사용자 사진 갤러리를 스캔하고, 이미지 속 텍스트를 분석해 암호화폐 지갑 복구 문구를 찾는 방식으로 작동한다.

카스퍼스키는 4월 27일 자사 위협 연구팀이 App Store에서 2개, Google Play에서 1개의 감염 앱을 확인했다고 밝혔다. 스파크캣은 앞서 양대 앱 플랫폼에서 제거된 뒤 약 1년 만에 변종 형태로 다시 발견됐다.

이번 변종은 기업용 메신저와 음식 배달 앱 등 정상 애플리케이션으로 위장해 배포됐다. 사용자가 사진 접근 권한을 허용하면 기기 갤러리 내 이미지를 확인하고, 광학 문자 인식(OCR) 모듈을 통해 이미지에 포함된 문자를 분석한다. 관련 키워드가 발견되면 해당 이미지를 공격자에게 전송하는 구조다.

플랫폼별 탐색 대상은 다르게 나타났다. 안드로이드 변종은 일본어, 한국어, 중국어 키워드가 포함된 스크린샷을 찾도록 설계됐다. 카스퍼스키는 이를 근거로 이번 캠페인이 주로 아시아 지역 암호화폐 이용자를 겨냥한 것으로 분석했다. iOS 변종은 영어로 작성된 지갑 복구 문구를 탐색해 지역 제한 없이 영향을 줄 가능성이 있다.

기술적으로도 기존보다 탐지를 어렵게 만드는 방식이 적용됐다. 최신 안드로이드 변종에는 다층 난독화 구조, 코드 가상화, 크로스 플랫폼 프로그래밍 언어 사용 등이 포함됐다. 카스퍼스키는 이러한 기법이 모바일 악성코드에서 흔하지 않은 방식이라고 설명했다.

카스퍼스키는 확인된 악성 앱을 구글과 애플에 신고했으며, 현재 해당 앱은 공식 스토어에서 제거된 상태다. 다만 제3자 유통 경로를 통한 배포도 확인됐고, 일부 웹페이지는 아이폰 접속자를 대상으로 앱스토어와 유사한 화면을 보여주는 방식으로 위장한 것으로 나타났다.

보안 전문가들은 암호화폐 지갑 복구 문구나 개인 인증 정보가 담긴 이미지를 스마트폰에 저장하지 않는 것이 필요하다고 조언한다. 앱 설치 시에는 출처와 권한 요청 범위를 확인하고, 사진 접근 권한을 요구하는 앱은 실제 기능상 필요한지 점검해야 한다.

#카스퍼스키 #악성코드 #스파크캣 #트로이목마 #암호화폐 #사진 갤러리 #OCR #안드로이드 #iOS #보안 전문가

배종인 기자jongin@e4ds.com

기사 전체보기

댓글
Facebook

관련뉴스

카스퍼스키, UEBA 기반 SIEM 솔루션 출시

카스퍼스키가 UEBA 규칙 세트를 통합한 SIEM 솔루션을 발표했다. 머신러닝 기반 행동 분석을 통해 이상 징후를 실시간으로 탐지하고 오탐을 최소화해 보안 대응력을 강화한다.

2025-10-22 오후 2:16:14by 명세환 기자
정부기관 노린 허니마이트 APT, 정보 탈취 수법 고도화

카스퍼스키가 정부 및 외교 기관을 겨냥한 허니마이트(HoneyMyte) APT의 최신 공격 흐름을 공개했다. 분석 결과, 공격자는 CoolClient 백도어 기능을 확장해 클립보드와 활성창 정보, 브라우저 로그인 데이터, HTTP 프록시 자격 증명 등을 수집한 것으로 나타났다. 감염 과정에는 정상 서명된 실행 파일이 악성 DLL을 로드하도록 유도하는 DLL 사이드로딩 기법이 활용됐고, 최근 캠페인은 미얀마·몽골·말레이시아·태국·러시아 등에서 확인됐다. 연구진은 능동적 감시 기능이 APT 공격의 표준 전술로 자리 잡고 있어 선제적 방어가 필요하다고 평가했다.

2026-02-04 오후 2:58:00by 명세환 기자
노트패드++ 공급망 공격, 3개 미공개 감염 체인 추가 확인

카스퍼스키 글로벌 연구 분석팀은 최근 발생한 노트패드++ 공급망 공격을 분석한 결과, 공격자들이 필리핀 정부 기관과 엘살바도르 금융 기관, 베트남 IT 서비스 제공업체, 복수 국가의 개인 사용자를 표적으로 삼았다고 밝혔다. 공격에는 최소 세 개의 감염 체인이 사용됐으며, 이 가운데 두 개는 그간 공개되지 않았던 것으로 나타났다. 특히 2025년 7월부터 9월까지 활용된 공격 인프라는 기존에 알려진 침해 지표와 전혀 달라, 일부 조직이 감염 여부를 인지하지 못했을 가능성이 제기됐다. 카스퍼스키는 아직 확인되지 않은 추가 공격 단계가 존재할 수 있다고 설명했다.

2026-02-09 오전 9:48:42by 명세환 기자
카스퍼스키, SOC 통합 관리와 AI 분석 기능 묶은 ‘넥스트’ 개편판 공개

기업들이 보안관제센터(SOC) 구축과 운영에서 통합 관리와 자동화 수요를 키우는 가운데, 카스퍼스키가 자사 B2B 보안 제품군 ‘카스퍼스키 넥스트’의 개편 내용을 공개했다. 이번 업데이트는 OSMP 기반 단일 콘솔로 EPP·EDR·XDR·SIEM 연계를 넓히고, DLL 하이재킹 탐지와 계정 탈취 의심 행위 식별 같은 AI 기능, 생성형 AI 보조도구 KIRA 연동을 담았다. 회사는 대규모 배포 환경에서 EDR Expert는 최대 30%, XDR Expert는 최대 60%까지 자원 요구량을 낮출 수 있다고 밝혔다.

2026-03-25 오전 11:52:25by 배종인 기자
카스퍼스키, 2025년 글로벌 독립 보안평가서 최다 1위

카스퍼스키가 2025년 한 해 글로벌 독립 보안 테스트와 리뷰 100건에 참여해 90건에서 1위를 기록했다고 1일 밝혔다. 기업용 EDR, 엔드포인트 보안, 중소기업용 보안, 개인용 보안 제품군 전반에서 인증과 수상이 이어졌으며, 장기 누적 기준으로도 2013년부터 2025년까지 1122건의 평가 중 861건에서 1위를 차지했다고 설명했다. 이번 결과는 보안 제품 평가 기준이 탐지율뿐 아니라 오탐률, 사용성, 고급 위협 대응 역량까지 확대되고 있음을 보여준다.

2026-04-01 오전 9:29:01by 배종인 기자
카스퍼스키 “지난해 한국서 웹 공격 650만건·로컬 위협 919만건 탐지”

카스퍼스키가 2025년 한국 관련 보안 위협 보고서를 공개하고, 지난해 국내에서 웹 기반 공격 650만여 건, 로컬 위협 919만여 건을 탐지했다고 밝혔다. 웹 공격은 브라우저 취약점 악용과 사회공학 기법을 중심으로 이뤄졌고, 로컬 위협은 USB 등 이동식 매체를 통해 오프라인 환경까지 확산할 수 있는 것으로 분석됐다. 회사 측은 파일리스 악성코드, 코드 난독화 등 탐지 회피 수법이 늘고 있다며 단일 백신을 넘어 행위 기반 탐지, 방화벽, 장치 제어를 포함한 다층 보안 체계가 필요하다고 설명했다.

2026-04-06 오후 2:32:30by 명세환 기자
카스퍼스키, 북한발 가상자산 탈취 캠페인 경고

북한 연계 해킹조직으로 지목돼 온 블루노로프가 가상자산 탈취 수법을 한층 정교하게 진화시킨 것으로 나타났다. 단순히 암호화폐 지갑만 노리는 수준을 넘어, 화상회의와 채용 절차, 클라우드 계정, 메신저, 브라우저 자격증명까지 한꺼번에 장악하는 방식으로 공격 범위를 넓히고 있다는 분석이다. 글로벌 보안업체 카스퍼스키는 16일 이 같은 내용을 담은 심층 보고서를 공개하며 Web3·블록체인 업계 종사자들의 각별한 주의를 당부했다.

2026-04-16 오전 11:51:47by 배종인 기자