앱스토어·구글플레이도 뚫렸다…암호화폐 탈취 트로이목마 변종 주의보

등록 2026.04.27 09:31:16

카스퍼스키, 구글·애플 보안 우회한 트로이목마 '스파크캣' 변종 발견

OCR 기술로 이미지 속 텍스트 분석하는 지능형 수법 동원

아시아 사용자 타겟…한국어 키워드 집중 탐색 확인

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.04.03. *재판매 및 DB 금지

[서울=뉴시스] 신효령 기자 = 애플 앱스토어와 구글 플레이스토어에서 정상 앱으로 위장한 악성 애플리케이션이 발견된 것으로 나타났다. 이번 악성코드는 사용자의 스마트폰 사진첩을 뒤져 암호화폐 지갑 복구 문구를 찾아내는 방식으로 작동해 이용자들의 각별한 주의가 요구된다.

글로벌 보안기업 카스퍼스키는 자사 위협 연구팀이 애플 앱스토어와 구글 플레이에서 암호화폐 탈취를 목적으로 하는 새로운 '스파크캣(SparkCat)' 트로이목마 변종을 확인했다고 27일 밝혔다.

이는 지난해 공식 앱 마켓에서 처음 발견된 뒤 삭제된 이후 약 1년 만에 다시 등장한 사례다. 다시 돌아온 '스파크캣'은 더욱 교묘하고 정교한 수법을 무장했다. 평범하고 정상적인 앱처럼 위장해 사용자의 스마트폰에 침투한 뒤, 사진 갤러리를 스캔하고 암호화폐 지갑 복구 문구를 탐색하는 방식이다.

일상 속에 숨어든 위협…메신저·배달 앱으로 위장

새로운 '스파크캣' 변종은 사용자들이 안심하고 사용하는 정상적인 앱을 유포 도구로 활용한다. 여기에는 직장인들의 필수 도구인 기업용 메신저와 일상생활에 밀접한 음식 배달 앱 등이 포함됐다.

카스퍼스키 전문가들의 분석 결과에 따르면, 앱스토어에서 2개, 구글 플레이에서 1개의 감염 앱이 확인됐다. 현재는 카스퍼스키의 신고를 통해 해당 마켓에서 모두 제거된 상태다. 하지만 안심하기는 이르다. 카스퍼스키의 텔레메트리(원격 측정) 데이터에 따르면, 스파크캣은 공식 스토어 외에도 제3자 유통 경로를 통해 활발히 배포되고 있다.

특히 아이폰 사용자를 노린 정교한 피싱 수법도 포착됐다. 일부 웹페이지는 iOS 기기로 접속할 경우 공식 앱스토어를 정교하게 모방한 형태로 위장해 사용자가 악성 앱을 내려받도록 유도하고 있다.

아시아 사용자 타겟팅…한국어 키워드 집중 탐색

이번 스파크캣 캠페인의 특징 중 하나는 명확한 지역 타겟팅이다. 안드로이드 버전은 특히 한국어, 일본어, 중국어 키워드가 포함된 이미지를 집중적으로 탐색한 것으로 나타났다. 보안업계는 이를 근거로 아시아 지역 사용자가 주요 공격 대상이 됐을 가능성이 높다고 분석했다.

반면 아이폰용 악성코드는 영어 기반 니모닉 문구를 탐색하는 방식으로 작동했다. 특정 국가에 한정되지 않고 더 광범위한 사용자를 노렸다는 의미다.

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. photo@newsis.com *재판매 및 DB 금지 *재판매 및 DB 금지

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. [email protected] *재판매 및 DB 금지 *재판매 및 DB 금지

세르게이 푸잔 카스퍼스키 악성코드 분석가는 "업데이트된 스파크캣 변종은 특정 상황에서 스마트폰 갤러리의 사진 접근 권한을 요청하는데, 이는 초기 버전과 동일한 방식"이라며 "광학 문자 인식(OCR) 모듈을 활용해 저장된 이미지 속 텍스트를 분석한 뒤 관련 키워드가 발견되면 해당 이미지를 즉시 공격자에게 전송한다"고 설명했다. 이어 "현재 샘플과 과거 샘플의 유사성을 볼 때 동일한 개발자의 소행으로 판단된다"고 덧붙였다.

"사진첩에 민감 정보 저장 금물…전문 보안 솔루션 필수"

카스퍼스키는 확인된 악성 애플리케이션을 구글과 애플에 즉시 신고해 추가 피해를 차단했다. 그러나 공격자들의 기술이 나날이 발전하고 있어 사용자 개개인의 주의가 중요한 시점이다.

드미트리 칼리닌 카스퍼스키 사이버 보안 전문가는 "스파크캣은 분석 회피를 위한 난독화 복잡성을 계속 높이며 공식 앱 스토어 심사 과정을 우회하고 있다"며 "코드 가상화 등은 공격자의 매우 높은 기술 수준을 보여주는 사례"라고 강조했다.

이효은 카스퍼스키 한국지사장은 "한국은 스마트폰 보급률이 높고 암호화폐 사용이 활발해 '스파크캣' 같은 진화하는 모바일 위협의 주요 표적이 되고 있다"며 "사용자들은 경계를 늦추지 말고, 민감한 정보를 사진첩 등 눈에 띄는 곳에 저장하지 말아야 한다. 은밀하고 특정 지역을 겨냥한 사이버 공격으로부터 자산을 보호하기 위해 반드시 전문적인 모바일 보안 솔루션을 도입해야 한다"고 말했다.

◎공감언론 뉴시스 [email protected]