구글이 발견한 정교한 새로운 해킹 툴킷 이 아이폰 소유자와 암호화폐 지갑을 위험에 빠뜨리고 있습니다. 'Coruna'라는 이름의 이 멀웨어는 손상된 웹사이트를 방문하는 것만으로 완전히 수동적인 방식으로 Apple 기기를 감염시킨 다음 세계에서 가장 인기 있는 암호화폐 지갑 애플리케이션에서 자금을 빼낼 수 있습니다.
구글 보안팀의 분석을 통해 발견된 이 위협은 제로 클릭 익스플로잇의 조용함과 직접적인 금전적 목표가 결합된 사이버 공격 환경의 위험한 도약을 나타냅니다.
인비저블 공격: 클릭 한 번으로 감염
코루나의 가장 우려스러운 특징은 피해자와의 상호작용 없이 작동한다는 점입니다. 악성 링크를 클릭하거나 감염된 파일을 다운로드해야 하는 기존 피싱과 달리, 이 툴킷은 iOS 운영 체제의 심각한 취약점을 악용합니다.
구형 아이폰을 사용하는 사용자는 가짜 또는 손상된 웹사이트로 이동하기만 하면 감염을 유발할 수 있습니다. 일단 내부에 침입한 멀웨어는 암호를 훔치지 않고 바로 소스인 암호화폐 지갑을 복원하고 제어하는 데 필요한 시드 문구로 이동합니다.
코루나는 메시지, 메모 및 기타 iPhone 파일에서 '백업 문구' 또는 '복원 문구'와 같은 특정 텍스트 문자열과 12개 또는 24개의 단어를 조용히 스캔합니다. 이 문자열이 발견되면 공격자는 추가 인증을 우회하여 자금을 완전히 제어할 수 있게 됩니다.
표적에 오른 앱: 위험에 처한 18개 앱
이 공격은 단일 플랫폼이 아니라 탈중앙화 금융 앱(DeFi) 전체를 표적으로 삼고 있습니다. Google의 분석에 따르면 18개의 암호화폐 앱이 Coruna의 타겟이 되고 있으며, 여기에는 MetaMask, Phantom, Exodus, Trust Wallet 및 Uniswap 같은 업계 거물들이 포함되어 있습니다. 따라서 이러한 플랫폼의 사용자는 암호화폐 도난의 직접적이고 즉각적인 위험에 노출되어 있습니다.
복합적인 위협의 기원
코루나 이야기는 복잡하며 사이버 공격에 대한 암시장이 점점 더 커지고 있음을 드러냅니다. 구글은 툴킷의 경로를 재구성하여 암호화폐 거래소 플랫폼인 WEEX의 사기성 복제본을 포함한 수백 개의 가짜 웹사이트에서 툴킷을 복구했습니다.
분석 결과 우려스러운 교차 사용이 발견되었습니다.
- 2025년 여름, 러시아 스파이로 의심되는 그룹이 우크라이나의 아이폰 사용자를 대상으로 동일한 툴킷을 사용하여 손상된 현지 회사 웹사이트를 악용했습니다.
- 그 후, China에 기반을 둔 범죄 그룹이 금전적인 목적을 위해 사기 사이트를 통해 대규모로 이를 유포하여 Google이 전체 코드를 회수하고 Coruna로 이름을 변경할 수 있게 했습니다.
이러한 변화는 매우 강력한 해킹 도구에 대한 번성하는 2차 시장이 존재한다는 것을 암시합니다.
자신을 보호하는 방법: 해결책은 여기에 있습니다
공격의 위험성에도 불구하고 방어 방법은 놀라울 정도로 간단하며 이미 마련되어 있습니다. Coruna가 악용한 취약점은 iOS 17.2.1 이하를 실행하는 iPhone에 영향을 미칩니다. Apple은 2024년 1월에 출시된 iOS 17.3 업데이트를 통해 이러한 익스플로잇에 대한 최종 패치를 발표했습니다. 1년 반 이상 업데이트를 설치하지 않은 사용자는 잠재적으로 위험에 노출되어 있습니다.
또한, Apple은 이미 툴킷에 치명적인 것으로 판명된 극단적인 보안 조치인 '잠금 모드'를 도입한 바 있습니다. iPhone 설정에서 이 기능을 활성화하면 공격을 완전히 차단할 수 있습니다. Coruna가 이 모드의 존재를 감지하면 즉시 실행을 중단합니다.
위험한 유산: 재활용된 익스플로잇
코루나의 분석 결과, 툴킷의 배후에 있는 익스플로잇 중 두 가지가 이미 2023년에 카스퍼스키가 발견한 유명한 iOS 스파이 캠페인인 오퍼레이션 트라이앵귤레이션에 사용된 적이 있다는 또 다른 우려스러운 부분이 밝혀졌습니다. 이는 한 번 개발된 '엘리트' 수준의 익스플로잇이 어떻게 감시 기관에서 국가 단체로, 그리고 결국 일반 금융 범죄로 이동하면서 다른 공격자들에 의해 계속 유포되고 재사용되는지 보여줍니다.
