본문으로 바로가기
58808209 0592020031658808209 08 0802001 6.1.1-RELEASE 59 지디넷코리아 0 false true false false 1584332867000 1584332973000 이메일 공격 271% 오피스365 관리자 계정 악용 2003161501

쿠키 훔쳐 페북 계정 탈취하는 악성코드 발견

글자크기

프록시 서버로 비정상 로그인 감지 시스템 우회

(지디넷코리아=김윤희 기자)웹브라우저, 페이스북 앱에서 저장한 사용자의 쿠키를 훔쳐 계정을 가로채는 악성코드가 발견됐다.

카스퍼스키 연구팀은 안드로이드 악성코드 '쿠키시프(Cookiethief)'를 발견했다고 지난 12일 밝혔다.

이 악성코드는 감염된 기기에서 모든 영역을 제어할 수 있는 '슈퍼유저' 권한을 획득한 뒤 해커가 관리하는 명령제어(C2) 서버에 쿠키를 전송한다. 기기에 설치된 백도어에 연결하는 방식으로 이 권한을 획득한다.

쿠키는 사용자의 웹사이트 이용 내역 등을 기록한 정보로, 사용자 기기에 저장된다. 여러 차례 방문한 웹사이트의 로그인 정보를 기록하는 세션 계정도 포함된다. 쿠키시프는 이 점을 악용했다.

지디넷코리아

(사진=씨넷)

<이미지를 클릭하시면 크게 보실 수 있습니다>



공격자는 감염된 기기에 프록시 서버를 만들어 SNS, 메신저 서비스의 보안 시스템을 우회하는 악성 앱도 개발했다. 이를 통해 SNS와 메신저 서비스들이 비정상적 사용자 행위를 감지할 수 없게 했다.

연구팀은 C2 서버에서 SNS와 메신저 서비스에서 스팸을 배포하기 위한 광고 서비스를 발견했다고 밝혔다. 공격자가 탈취한 계정을 이용해 스팸 광고 배포에 활용하고 있는 것으로 추정할 수 있는 단서다.

연구팀은 쿠키시프에 감염된 기기 수는 현재 1천개 미만이지만, 점차 감염이 확산되고 있다고 밝혔다. 쿠키시프가 같은 C2 서버를 통해 다른 트로이목마와도 연결될 수 있다고 덧붙였다.

카스퍼스키 연구팀은 기기가 구입되기 전 악성코드를 심거나, OS의 취약성을 악용해 악성 앱을 내려받는 등의 방식으로 쿠키시프가 침투할 수 있다고 설명했다.

김윤희 기자(kyh@zdnet.co.kr)

<저작권자 ⓒ '대한민국 대표 산업 미디어' 지디넷코리아, 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.