포스팅 내용

국내외 보안동향

삭제가 불가능한 안드로이드 악성코드인 xHelper 제거법 공개돼

There's finally a way to remove xHelper, the unremovable Android malware


최근 보안연구원들은 xHelper 악성코드에 감염된 스마트폰의 치료법을 발견하였습니다. 이 방법을 고안해내는데에는 약 10개월이라는 시간이 걸렸습니다. 


이 악성코드는 지난 2019년 3월, 사용자들이 휴대폰 공장 초기화 이후에도 제거가 되지 않는다고 앱에 대한 불평을 하면서 알려지게 되었습니다. 


이 앱은 사용자에게 팝업 광고와 스팸 알림을 띄워 성가시게 만듭니다. 


시간이 지남에 따라, xHelper 캠페인은 점점 더 많은 기기를 감염시켰으며, Malwarebytes의 보고에 따르면, 8월 32,000대의 기기가 감염되었고, 지난 10월 시만텍의 연구원들이 발표한 보고서에서는 45,000대가 감염되었다고 밝혔습니다. 


보안연구원들은, xHelper의 감염되는 원인을 "웹디렉션"으로 지목하였습니다. 이 사이트는 사용자에게  플레이스토어가 아닌 다른곳에서 비공식 앱을 사이드로드 하는지 설명하며, xHelper 악성코드를 다운로드 받도록 유도합니다. 


사용자가 기기를 공장 초기화할 때 마다 몇시간 후 악성코드가 팝업되면서 사용자와의 상호작용 없이도 자기 자신을 재설치했습니다.


xHelper를 제거하는 유일한 방법은 안드로이드 OS 전체를 재설치하여 기기 전체를 리플래시하는 것입니다. 하지만 감염자들 중 대부분이 리플래시를 위한 적절한 안드로이드 OS 펌웨어 이미지에 접근할 수 없었습니다.



단서 발견


Malwarebytes의 연구원들은 악성코드를 발견한 후 계속해서 연구한 결과, 이 악성코드가 어떻게 다시 설치되는지는 확인할 수 없었지만 공장 초기화 이후에도 xHelper가 다시 설치되는 것을 막을 수 있는 방법을 발견했다고 밝혔습니다.


연구원들은 xHelper가 재설치 작업을 시작하기 위해 구글 플레이 스토어 앱 내부 프로세스를 사용하는 방법을 발견했다고 말했습니다.


xHelper는 공장 초기화 이후에도 살아남기 위해 기기에 특수 디렉토리를 생성해 APK를 디스크에 숨겼습니다.

연구원들은 구글 플레이 스토어 앱이 아직 밝혀지지 않은 특정 작업을 실행한 후 악성코드가 자신을 재설치하는 것으로 추측했습니다.



제거 방법


연구원들은 사용자가 기기에서 xHelper 악성코드를 제거하고 재설치되지 못하도록 하는 방법을 고안해냈습니다.


1) 구글 플레이에서 파일 및 경로를 검색할 수 있는 파일 관리 앱을 다운로드합니다. (예: ASTRO)


2) 재설치 방지를 위해 임시로 구글 플레이를 비활성화합니다.

설정 > 앱 > 구글 플레이 스토어로 이동하여 사용 중지 버튼을 누릅니다.


3) 안드로이드용 백신앱을 통해 스캔을 실행하여 xHelper 악성코드를 숨기고 있는 앱의 이름을 찾아냅니다. 수동으로 제거하는 것은 어려울 수 있지만, 안드로이드 OS 앱 정보 섹션에서 찾아야하는 이름은 fireway, xhelper, Settings(두 개의 앱이 표시될 경우에만)입니다.


4) 파일 관리자를 열고 com.mufc로 시작하는 항목을 찾습니다.


5) 발견될 경우, 마지막 수정 날짜를 기록해둡니다.

- 파일 관리자에서 날짜 순으로 정렬합니다.

- ASTRO의 경우 설정에서 정렬 조건을 변경할 수 있습니다.


6) Com.mufc로 시작하는 모든 것을 삭제하고 동일한 날짜에 생성된 모든 파일을 삭제합니다. (Download 등 핵심 디렉토리 제외)



<이미지 출처 : https://www.zdnet.com/article/theres-finally-a-way-to-remove-xhelper-the-unremovable-android-malware/>



7) 구글플레이를 다시 활성화합니다.


설정 > 애플리케이션 > 구글 플레이 스토어에서 사용 버튼을 누릅니다.





출처 :

https://www.zdnet.com/article/theres-finally-a-way-to-remove-xhelper-the-unremovable-android-malware/



티스토리 방명록 작성
name password homepage