페이스북 계정을 하이잭하는 안드로이드 악성코드인 Cookiethief 발견

Cookiethief, the Android malware that hijacks Facebook accounts

카스퍼스키의 보안 연구원들이 감염된 기기에서 루트 접근 권한을 얻고 브라우저와 페이스북 앱의 쿠키를 훔쳐 페이스북 계정을 하이잭하는 안드로이드 악성코드를 발견했습니다.

“최근 안드로이드 악성코드의 새로운 변종을 발견했습니다. Trojan-Spy.AndroidOS.Cookiethief로 탐지되는 이 악성코드는 꽤 단순했습니다. 주요 작업은 피해자 기기에서 루트 권한을 얻고, 브라우저와 페이스북이 사용하는 쿠키를 범죄자의 서버로 보내는 것입니다.”

“이 악성코드는 동일한 방식을 통해 다른 앱의 모든 웹사이트에서 쿠키를 훔칠 수 있으며, 유사한결과를 얻을 수 있는 것으로 나타났습니다.”

Cookiethief 악성코드의 패키지명은 com.lob.roblox로 Roblox 안드로이드 게이밍 클라이언트 패키지명인 com.roblox.client로 유사합니다. 하지만 두 소프트웨어 간 공통점은 없습니다.

연구원들은 이 악성코드는 페이스북이나 브라우저의 어떠한 결점도 악용하지 않지만 스마트폰에 설치된 또 다른 백도어에 연결하는 방식으로 루트 권한을 얻어 실행을 위한 셸 명령을 전달하는 것이라 밝혔습니다.

Bood라 명명된 이 백도어는 /system/bin/.bood에 위치하며, 로컬 서버를 시작하고 Cookiethief 악성코드가 전달하는 명령어를 실행합니다.

이 C&C 서버를 분석한 결과, 소셜 네트워크와 메신저를 통해 스팸을 보내는 서비스를 광고하는 페이지가 발견되었습니다. 연구원들은 이 서비스가 공격자들의 공격 동기일 것으로 추측했습니다.

“웹 서비스는 쿠키를 활용하여 다양한 설정을 저장하고, 사용자가 패스워드를 입력하지 않고도 자동으로 로그인할 수 있도록 사용자 식별이 가능한 고유 세션 ID를 기기에 저장합니다. 따라서 쿠키를 도난 당하면 위험한 상황이라고 볼 수 있습니다.”

연구원들은 Cookiethief를 분석하던 중 또 다른 악성 애플리케이션을 발견했습니다. Trojan-Proxy.AndroidOS.Youzicheng로 탐지되는 이 악성코드는 동일한 C&C 서버에 연결하며 코딩 방식이 유사했습니다. 또한 연구원들은 이 악성코드가 페이스북의 보호 장치를 우회하도록 설계되었다고 설명했습니다.

“공격자들은 이 두 공격을 조함함으로써 피해자의 계정을 완전히 제어할 수 있게 되며 페이스북의 의심을 사는 것을 피할 수 있습니다. 이 위협은 이제 막 확산되기 시작했습니다. 우리가 수집한 데이터에 따르면 피해자 수는 1,000명을 넘지 않는 수준이지만, 수치는 지속적으로 증가하고 있습니다.”

이들은 Cookiethief가 Sivu, Triada, Ztorg를 포함한 다른 악성코드와도 연결되어 있을 것이라 추측했습니다. 이 중 일부는 저가형 안드로이드 스마트폰에 선 탑재된 것이 발견되기도 했습니다.

연구원들은 “이러한 악성코드는 보통 기기에 선 탑재 되거나, OS의 취약점을 파고들어 시스템 폴더에 침투합니다. 그 결과로 Bood와 같은 영구 백도어나 Cookiethief, Youzicheng과 같은 보조 프로그램이 기기에 설치될 수 있습니다.”라 결론지었습니다.

현재 알약M에서는 해당 악성앱들에 대해 Trojan.Android.Agent로 탐지중에 있습니다.

출처 :

https://securityaffairs.co/wordpress/99569/malware/cookiethief-android-malware.html

https://securelist.com/cookiethief/96332/