SparkCat 맬웨어

최근에 밝혀진 위협 캠페인인 SparkCat은 암호화폐 지갑 복구 문구를 수집하도록 설계된 사기성 앱을 사용하여 Apple의 앱 스토어와 Google Play에 침투했습니다. 합법적인 서비스로 위장한 이러한 애플리케이션은 피해자의 기기에서 니모닉 문구를 비밀리에 추출하여 디지털 자산을 위험에 빠뜨립니다.

OCR을 활용하여 지갑 복구 문구 수집

SparkCat은 고급 OpticalCharacter Recognition(OCR) 모델을 활용하여 사용자의 사진 라이브러리에서 지갑 복구 문구가 포함된 이미지를 스캔합니다. 감지되면 이러한 민감한 이미지는 원격 명령 및 제어(C2) 서버로 유출됩니다. 이 캠페인은 분석 모듈로 위장한 Spark라는 Java 구성 요소가 포함된 임베디드 소프트웨어 개발 키트(SDK)의 이름을 따서 명명되었습니다. 이 침투가 공급망 공격에서 비롯되었는지 아니면 개발자가 의도적으로 도입했는지는 불분명합니다.

Apple 앱스토어에 침투하다

OCR 기능을 갖춘 Android 위협은 이전에도 나타났지만, SparkCat은 Apple의 앱 스토어로 침투한 이러한 공격의 첫 사례 중 하나입니다. Google Play에서 손상된 애플리케이션은 2025년 2월 7일에 두 플랫폼에서 제거되기 전까지 242,000회 이상 다운로드되었습니다.

다중 플랫폼 운영

증거에 따르면 SparkCat은 2024년 3월부터 활동해 왔습니다. 안전하지 않은 애플리케이션은 공식 및 타사 앱 스토어를 통해 배포됩니다. 사기성 애플리케이션은 AI 도구, 음식 배달 서비스 및 Web3 플랫폼을 사칭하며, 일부는 의심을 피하기 위해 겉보기에 합법적인 기능을 제공하기도 합니다.

SparkCat이 데이터를 수집하는 방법

Android 기기에서 이 맬웨어는 Google의 ML Kit 라이브러리에서 제공하는 OCR 플러그인을 해독하고 활성화합니다. C2 서버에서 미리 정의된 키워드와 일치하는 텍스트를 이미지 갤러리에서 스캔합니다. 플래그가 지정된 이미지는 공격자에게 전송됩니다.

SparkCat의 iOS 버전은 정확한 ML Kit 기반 OCR 메커니즘을 사용하여 민감한 정보를 식별하고 추출합니다. 이 버전은 독특하게도 C2 서버와 상호 작용하기 위해 Rust 기반 통신 프레임워크를 사용합니다. 이는 모바일 위협에서 흔하지 않은 전술입니다.

공격의 배후는 누구인가?

사용된 키워드와 배포 패턴을 분석한 결과 SparkCat은 주로 유럽과 아시아의 사용자를 대상으로 합니다. 증거는 중국어에 능통한 위협 행위자를 가리키지만, 정확한 신원은 여전히 알려지지 않았습니다.

위장한 은밀한 트로이 목마

SparkCat을 특히 기만적으로 만드는 것은 위험 신호를 일으키지 않고 작동할 수 있는 능력입니다. 요청하는 권한은 애플리케이션의 광고된 기능에 필요한 것처럼 보이거나 무해하여 의심을 불러일으키지 않고 섞일 수 있습니다. 이러한 은밀한 접근 방식으로 인해 사용자는 암호화폐 지갑이 손상되기 전에 위협을 인식하기 어렵습니다.