TikTok 동영상 다운로더로 위장한 악성 크롬 확장 프로그램 주의

[이미지] 생성형 AI 제작

 

 

크롬(Chrome) 웹스토어에 정식 등록된 TikTok 동영상 다운로드 확장 프로그램 내부에 악성 기능이 숨겨져 있는 것으로 확인되었습니다.

 

해당 확장 프로그램은 “TikTok Video Downloader”, “TikTok 동영상 대량 다운로더" 라는 이름으로 배포 중이며, 표면적으로는 TikTok 영상 다운로드 기능을 제공하지만 내부에 원격 C2 서버 통신, 사용자 정보 전송, 브라우저 탭 리디렉션 등의 악성 기능이 숨겨져 있습니다.

 

[그림 1] 크롬 웹스토어에 등록된 악성 확장 프로그램 화면

 

악성 기능 상세 분석

 

1. 사용자 정보 전송

해당 확장 프로그램이 설치되면, 브라우저 환경 정보(OS, 브라우저 버전, 언어 설정) 및 기기 고유 식별자를 외부로 전송합니다.

전송되는 정보는 다음과 같습니다.

 

수집정보	내용
추적 ID (usr)	설치 시각이 인코딩된 기기 고유 식별자
확장 식별자 (s)	고정값 ttk_saver
브라우저 및 OS 정보	Chrome 버전, 운영체제 종류
사용자 언어 설정	예: ko-KR,ko;q=0.9

[표 1] 전송 정보

 

GET Method를 사용하여 아래와 같은 형태로 C2 서버에 즉시 전달됩니다.

 

[그림 2] 공격자 C2 서버로 전송되는 패킷 화면

 

추적 ID에는 설치 시각(Unix 타임스탬프)이 인코딩되어 있어, C2 서버 운영자가 역산하면 각 사용자의 정확한 설치 일시를 파악할 수 있습니다.

또한 이 추적 ID는 chrome.storage.sync에 저장되어 동일한 Google 계정으로 로그인된 모든 기기에 동일한 추적 ID가 자동 동기화됩니다. 즉 PC 한 대에 설치하더라도, 같은 구글 계정을 쓰는 다른 PC나 노트북까지 동일 ID로 연계 추적이 가능합니다.

 

2. 원격 C2 서버와의 통신

해당 확장 프로그램은 서비스 워커(Service Worker, 브라우저 백그라운드에서 상시 실행되는 스크립트)가 시작될 때마다 C2 서버(cfg.datapointflow.com)에 자동 접속하여 원격 명령을 수신하며,  6시간마다 반복 접속해 설정을 갱신합니다.

C2 서버로부터 수신하는 데이터는 다음과 같습니다.

 

수신 데이터	역할
s_id	공격자 제휴 계정을 식별하는 세션 ID
verify	이 기기를 악성 행위 대상으로 선별하는 플래그
prom_true	실제 리디렉션을 켜고 끄는 원격 스위치
dmn	리디렉션을 트리거할 타겟 도메인 목록
bl	예외 처리할 블랙리스트 도메인 목록

[표 2] C2 서버로부터 수신하는 데이터

 

여기서 주목할 점은 verify와 prom_true 두 개의 플래그를 분리하여 운영한다는 것입니다.

verify는 대상 기기를 확정하고, prom_true는 실시간 ON/OFF 스위치 역할을 합니다.

탐지가 의심될 경우 prom_true를 false로 내려 악성 행위를 즉시 중단했다가, 위협이 사라지면 다시 true로 재활성화할 수 있습니다. 즉 공격자가 탐지 상황에 따라 원격에서 악성 행위를 자유롭게 켜고 끌 수 있는 구조입니다.

 

확장 프로그램 설치 후 6시간이 지나면 다시 재요청을 하여 dmn(도메인) 데이터를 수신합니다.

 

[그림 3] 공격자 C2서버로부터 수신된 dmn(도메인) 데이터

 

3. 브라우저 탭 리디렉션

이번 공격의 핵심은 사용자가 특정 사이트에 직접 접속하는 순간, dmn 리스트를 조회하여 브라우저 탭을 추가로 생성 후 공격자의 제휴 링크를 통해 해당 사이트를 재접속시키는 것입니다. 이를 통해 공격자는 실제로 아무런 광고 활동을 하지 않고도 제휴 수수료를 부정 획득합니다.

 

[그림 4] 리디렉션을 위해 생성된 탭 화면 (1번탭 : 제휴링크 사이트, 2번탭 : 사용자가 입력한 사이트)

 

공격 흐름은 다음과 같습니다.

→ 사용자가 도메인 리스트에 있는 주소를 입력해 접속

→ 탭 감시 리스너가 URL 변경 감지, C2에서 받은 도메인 목록과 대조 (최근 3일 내 방문 이력 없을 시)

→ 브라우저 탭 목록 첫 번째로 탭 자동 생성: go.linktransferhub.com/link/?sid=<공격자 세션ID>&dest=<도메인>

→ 리디렉션 허브가 공격자의 제휴 추적 링크를 통해 대상사이트 재접속

→ 대상사이트 제휴 시스템에 "공격자가 유입시킨 방문자"로 기록

→ 공격자에게 제휴 수수료 지급

→ 10초 후 탭 닫기

[그림 5] 브라우저 탭 리디렉션 코드

 

사용자가 직접 접속했음에도 광고 기록상으로는 공격자가 보낸 트래픽으로 둔갑하는 구조입니다. 공격자는 이러한 악성 행위를 들키지 않기 위해 다음과 같은 정교한 은닉 기법을 사용했습니다.

 

기법	효과
active: false	탭이 열려도 사용자 화면이 전환되지 않음
pinned: true	탭이 고정 탭(아이콘만 표시)으로 생성되어 제목·URL 노출 없음
index: 0	맨 앞에 생성되지만 현재 탭에 가려져 인지하기 어려움
10초 자동 삭제	흔적 제거
3일 쓰로틀링	동일 도메인 반복 접속을 3일 단위로 조절해 패턴 감지 회피
C2 원격 제어	탐지 시 즉시 비활성화 후 재활성화 가능

[표 1] 공격자 은닉 기법

 

해당 확장 프로그램이 설치한 상태에서 공격자가 C2 서버를 통해 prom_true=true 플래그를 내려보내는 순간, 다량의 가짜 제휴 클릭이 동시에 발생하는 구조입니다.

 

공격 특징

 

• 정식 등록을 통한 신뢰 위장
  크롬 웹스토어에 정식 등록·서명된 확장 프로그램으로, 사용자가 공식 마켓에 등록된 앱이라는 이유만으로 안전하다고 신뢰하도록 유도합니다.
• 설치와 악성 행위 시점 분리를 통한 탐지 회피
  설치 즉시 악성 행위를 실행하지 않고, C2 서버로부터 플래그를 수신한 이후 '다음 브라우저 기동 시점' 부터 리디렉션을 시작합니다. 설치 시점과 악성 행동 시점을 의도적으로 분리해 탐지를 어렵게 만드는 방식입니다.
  
• 원격 킬스위치를 통한 유연한 운용
  C2 서버를 통해 악성 행위를 실시간으로 켜고 끌 수 있습니다. 보안 솔루션의 탐지가 의심될 경우 즉시 비활성화해 잠적했다가 재활성화하는 방식으로 장기간 운용이 가능합니다.
  
• Google 계정 동기화를 악용한 다중 기기 추적
  추적 ID를 chrome.storage.sync에 저장해 동일 Google 계정으로 로그인된 모든 기기에 자동 동기화합니다. 피해 범위가 확장 프로그램을 직접 설치한 기기에 국한되지 않는다는 점에서 주의가 필요합니다.

 

이번 사례는 브라우저 확장 프로그램을 악용하는 방식이 점점 교묘해지고 있음을 잘 보여줍니다.

공격자는 사용자의 의심을 피하기 위해 실제로 동작하는 정상 기능 뒤에 악성 기능을 숨기고, 원격 제어를 통해 필요할 때만 이를 활성화하는 방식을 택하고 있습니다.

 

현재 웹스토어에 동일 유형의 TikTok 다운로더 확장 프로그램들이 다수 등록되어 있는 것으로 확인되며, 현 시점에서는 악성 기능이 포함되지 않은 다운로더 기능을 담고 있는 정상 버전으로 확인되었습니다.

다만 추후 업데이트를 통해 악성 기능이 추가될 가능성이 있으므로 ESRC에서는 해당 확장 프로그램들에 대해 지속적인 모니터링을 진행 중에 있습니다.

 

 

IoC

Indicator	Type	Description	Detection Name
A99615847C7081A7EB3772FDB7B64DC9	MD5	악성 스크립트	Trojan.JS.StealTok
79ACF7465B86ED0E3885F202D917027	MD5	악성 스크립트	Trojan.JS.StealTok
hxxps://cfg.datapointflow[.]com/acf.json	URL	C2
hxxps://get.confignode[.]com/promo.json	URL	C2
hxxps://go.linktransferhub[.]com/link/	URL
hxxps://check.clickrelayhub[.]com/link	URL