通常のブラウザアプリの場合、クッキーを窃取された場合になりすましされることは許容しています。ご指摘のように、簡便で有効な対策がないことと、そもそもブラウザからクッキーを窃取される状況では、端末自体を「ハイジャックされている」わけですから、ウェブアプリケーション側で頑張っても仕方ない、ということがあると思います。類似の状況として、パソコン等がウイルス感染している場合の対処も、通常はあまり頑張らずに、「ウイルスに感染したら仕方ない」と考えます。

PHP7.3のセッションIDで、同様にKeyValをコピペして試した場合は、
セッションを使ったログイン（session_start()関数）では、認証は出来ませんでした。
C言語が読めないので、どういった工夫で成りすましを識別しているか不明ですが、理想の挙動は正にコレです。

ここは、おっしゃっている意味がわかりませんでした。

今のところ思いつくのは、
完璧でないにせよ、自動ログイン用tokenを発行したリクエストのIPを、tokenに混ぜる、、です。
しかし、スマホだとコロコロIPが変わるので
「確実に不正が防げるわけではない&&にも関わらず不便になる」という予想から見送ってます。

この種の方法は、「現場の知恵」として実装されることは結構あります。IPアドレスの他、User-Agent等も利用されます。ご指摘のようにメリットがあまりない上にデメリットもあるので、「おすすめ」というわけではありません。

ということで、あまり有効な対策もないのですが、参考になるものとしては、再認証やオンラインバンキングでの二経路認証などがあります。これらは、通常の「なりすまし」は最悪許容するが、個人情報閲覧や振込操作等の前には、パスワードをもう一度入力してもらうとか、スマホアプリ側にユーザー操作の内容を転送して、スマホ側で許可を与えるというものです。
これらも、「そこまでするか?」とも思いますが、要求次第かと思います。