자기 자신을 재설치하는 악성 코드, 안드로이드 기기 45,000대 이상 감염시켜

Mysterious malware that re-installs itself infected over 45,000 Android Phones

시만텍의 보고서에 따르면, Xhelper라 명명된 이 악성코드는 이미 지난 6개월간 안드로이드 기기 45,000대 이상을 감염시켰으며 계속해서 매달 평균 최소 2,400대 기기를 감염시키고 있다고 밝혔습니다. 

시만텍 연구원들은 Xhelper 악성코드가 포함된 악성 앱의 정확한 출처는 알아낼 수 없었지만, 특정 브랜드 안드로이드 기기에 선 탑재되어 출시되는 악성 시스템 앱이 악성 코드를 다운로드하는 것으로 추측하고 있습니다.

“저희가 분석 한 샘플 중 어떤 것도 구글 플레이 스토어에서 찾을 수 없었습니다. 사용자가 알려지지 않은 출처에서 악성코드를 다운로드했을 가능성도 있지만, 이것이 유일한 배포 채널은 아닐 것으로 추측됩니다.”

“조사 결과, 이 앱들이 특정 전화 기기 브랜드에 더 빈번히 설치된다는 것을 발견했습니다. 따라서 공격자는 특정 기기 브랜드를 중점적으로 노리는 것으로 생각됩니다.

Malwarebytes는 두 달 전 발표한 보고서에서 Xhelper 악성코드가 사용자를 신뢰할 수 없는 써드파티 출처로부터 앱을 다운로드하도록 이동시키는 “웹 리디렉션” 또는 “기타 수상한 웹사이트”에서 확산된다고 추측했습니다.

Xhelper 악성코드의 동작 방식 

일단 설치되면, Xhelper는 일반적인 사용자 인터페이스를 제공하지 않습니다. 대신 사용자로부터 숨기 위해 기기의 애플리케이션 런쳐에는 나타나지 않는 애플리케이션 컴포넌트로써 설치됩니다.

Xhelper는 전원 공급 장치에 감염된 기기를 연결 또는 연결 해제, 기기 재부팅, 앱 설치 또는 제거 등 사용자가 트리거 한 외부 이벤트 일부를 통해 자기 자신을 실행합니다.

이 악성코드는 일단 설치되면 암호화된 채널을 통해 원격 C&C 서버에 연결하여 해킹된 안드로이드 기기에 드롭퍼, 클릭커, 루트킷과 같은 추가 페이로드를 다운로드합니다.

“우리는 C&C 서버에 저장된 악성코드 풀이 매우 방대하고 다양한 기능을 포함하고 있어 공격자가 데이터 탈취, 기기 제어 권한 탈취 등 여러 공격을 실행할 수 있을 것으로 추측합니다.”

연구원들은 “일부 이전 변종들에 당시 구현되지 않은 빈 클래스가 포함되어 있었으나, 해당 기능은 이제 완전히 활성화되었다”며 Xhelper의 소스 코드가 여전히 작성 중이라 추측했습니다.

Xhelper 악성코드는 주로 인도, 미국, 러시아의 안드로이드 스마트폰 사용자들을 노리고 있는 것으로 나타났습니다.

많은 안드로이드 안티바이러스 제품이 Xhelper 악성코드를 탐지하지만, 감염된 기기에서 이를 영구적으로 제거하거나 재 설치되는 것을 막지는 못했습니다.

이 악성코드의 출처가 아직 밝혀지지 않았기 때문에, 안드로이드 사용자들은 sw와 앱을 최신 버전으로 유지하기, 출처불분명한 앱 다운로드하지 않기 등 기본적이지만 효과적인 보안 기본 수칙을 준수할 것을 권고 드립니다. 

현재 알약M에서는 해당 안드로이드 악성앱들에 대하여 Trojan.Android.Agent로 탐지중에 있습니다. 

출처 :

https://thehackernews.com/2019/10/remove-xhelper-android-malware.html

https://www.symantec.com/blogs/threat-intelligence/xhelper-android-malware