웹브라우저, 페이스북 앱에서 저장한 사용자의 쿠키를 훔쳐 계정을 가로채는 악성코드가 발견됐다.
카스퍼스키 연구팀은 안드로이드 악성코드 '쿠키시프(Cookiethief)'를 발견했다고 지난 12일 밝혔다.
이 악성코드는 감염된 기기에서 모든 영역을 제어할 수 있는 '슈퍼유저' 권한을 획득한 뒤
해커가 관리하는 명령제어(C2) 서버에 쿠키를 전송한다. 기기에 설치된 백도어에 연결하는 방식으로 이 권한을 획득한다.
쿠키는 사용자의 웹사이트 이용 내역 등을 기록한 정보로, 사용자 기기에 저장된다.
여러 차례 방문한 웹사이트의 로그인 정보를 기록하는 세션 계정도 포함된다. 쿠키시프는 이 점을 악용했다.
공격자는 감염된 기기에 프록시 서버를 만들어 SNS, 메신저 서비스의 보안 시스템을 우회하는 악성 앱도 개발했다.
이를 통해 SNS와 메신저 서비스들이 비정상적 사용자 행위를 감지할 수 없게 했다.
연구팀은 C2 서버에서 SNS와 메신저 서비스에서 스팸을 배포하기 위한 광고 서비스를 발견했다고 밝혔다.
공격자가 탈취한 계정을 이용해 스팸 광고 배포에 활용하고 있는 것으로 추정할 수 있는 단서다.