구글이 코루나(Coruna)라는 해킹 툴킷을 발견했습니다. 이 툴킷은 인기 월렛 앱인 메타마스크(MetaMask), 팬텀(Phantom), 트러스트 월렛(Trust Wallet)을 겨냥하여 아이폰에 몰래 침투하고 암호화폐를 탈취합니다.
이 공격은 피해자의 별도 행동 없이 감염됩니다. 패치되지 않은 아이폰에서 악성 또는 가짜 웹사이트를 방문하는 것만으로 감염이 시작됩니다.
후원
후원
중요한 이유:
- iOS 17.2.1 이하 버전을 사용하는 아이폰은 여전히 취약합니다. 애플은 2024년 1월에 출시된 iOS 17.3에서야 최종 취약점을 패치했습니다.
- 이 툴킷은 노트와 메시지를 스캔해 “백업 구문(backup phrase)” 등 키워드와 암호화폐 시드 구문(seed phrase)을 찾습니다. 공격자는 비밀번호 없이도 월렛 전체에 접근할 수 있습니다.
- 18개 암호화폐 앱이 표적이며, 메타마스크(MetaMask), 팬텀(Phantom), 엑소더스(Exodus), 트러스트 월렛(Trust Wallet), 유니스왑(Uniswap) 이용자는 직접적인 탈취 위험에 노출됩니다.
상세 내용:
- GTIG 측은 가짜 금융 사이트와 암호화폐 거래소 수백 개에서 전체 코루나 툴킷을 회수했다고 주장합니다. 여기에는 위장된 WEEX 암호화폐 거래소도 포함됩니다.
- 2025년 여름, 한 러시아의 첩보 조직이 같은 툴킷을 활용해 우크라이나 아이폰 사용자를 현지 비즈니스 웹사이트를 통해 표적으로 삼았습니다.
- 이후 중국 기반 금융 범죄 조직이 이를 사기 사이트를 통해 대거 유포했고, 구글이 전체 툴킷을 회수하여 코루나(Coruna)라는 이름을 붙였습니다.
- 아이폰 설정에서 락다운 모드를 활성화하면 공격이 완전히 차단됩니다. 툴킷이 이를 감지하여 실행을 중지합니다.
전반적 상황:
- 동일한 툴킷이 감시 업체와 러시아 국책 조직, 중국 금융 범죄자 그룹을 거쳤습니다. 이는 강력한 해킹 툴의 이차 시장이 성장하고 있음을 보여줍니다.
- 코루나의 익스플로잇 중 두 개는 카스퍼스키가 적발한 2023년 iOS 스파이 작전(Operation Triangulation)에 이미 사용되었습니다. 이로써 고급 해킹 기법이 여러 위협 집단에서 재활용되고 있음이 드러납니다.
