웹브라우저, 페이스북 앱에서 저장한 사용자의 쿠키를 훔쳐 계정을 가로채는 악성코드가 발견됐다.
카스퍼스키 연구팀은 안드로이드 악성코드 '쿠키시프(Cookiethief)'를 발견했다고 지난 12일 밝혔다.
이 악성코드는 감염된 기기에서 모든 영역을 제어할 수 있는 '슈퍼유저' 권한을 획득한 뒤 해커가 관리하는 명령제어(C2) 서버에 쿠키를 전송한다. 기기에 설치된 백도어에 연결하는 방식으로 이 권한을 획득한다.
쿠키는 사용자의 웹사이트 이용 내역 등을 기록한 정보로, 사용자 기기에 저장된다. 여러 차례 방문한 웹사이트의 로그인 정보를 기록하는 세션 계정도 포함된다. 쿠키시프는 이 점을 악용했다.
공격자는 감염된 기기에 프록시 서버를 만들어 SNS, 메신저 서비스의 보안 시스템을 우회하는 악성 앱도 개발했다. 이를 통해 SNS와 메신저 서비스들이 비정상적 사용자 행위를 감지할 수 없게 했다.
연구팀은 C2 서버에서 SNS와 메신저 서비스에서 스팸을 배포하기 위한 광고 서비스를 발견했다고 밝혔다. 공격자가 탈취한 계정을 이용해 스팸 광고 배포에 활용하고 있는 것으로 추정할 수 있는 단서다.
관련기사
- "해커들, 4일만에 크롬 새 보안 조치 뚫었다"2020.03.16
- 견적서 사칭 악성메일 '주의'…사용자 정보 탈취2020.03.16
- '코로나19 최신 정보'…WHO 사칭 악성 메일 요주의2020.03.16
- 은행 계좌 정보 훔치는 변종 악성코드 발견2020.03.16
연구팀은 쿠키시프에 감염된 기기 수는 현재 1천개 미만이지만, 점차 감염이 확산되고 있다고 밝혔다. 쿠키시프가 같은 C2 서버를 통해 다른 트로이목마와도 연결될 수 있다고 덧붙였다.
카스퍼스키 연구팀은 기기가 구입되기 전 악성코드를 심거나, OS의 취약성을 악용해 악성 앱을 내려받는 등의 방식으로 쿠키시프가 침투할 수 있다고 설명했다.