포스팅 내용

국내외 보안동향

xHelper 안드로이드 악성코드가 공장 초기화 후에도 재설치되는 방법 공개돼

Unveiled: How xHelper Android Malware Re-Installs Even After Factory Reset


xHelper를 기억하시나요?


사용자가 삭제하거나 기기를 공장 초기화할 경우에도 자신을 스스로 재설치하여 제거가 사실상 불가능한 미스터리한 안드로이드 악성코드입니다.


xHelper는 지난 해 45,000대 이상의 기기를 감염시킨 것으로 알려졌으며, 그 이후 사이버 보안 연구원들은 어떻게 이 악성코드가 공장 초기화에서도 살아남을 수 있는지, 어떻게 그 많은 기기를 감염시켰는지 밝혀내기 위한 연구를 진행해 왔습니다.



<이미지 출처 : https://thehackernews.com/2020/04/how-to-remove-xhelper-malware.html>



카스퍼스키의 악성코드 분석가인 Igor Golovin이 공개한 보고서에 따르면, 이 악성코드가 사용하는 지속성 메커니즘에 대한 기술적 세부 사항이 마침내 밝혀져 감염된 기기에서 xHelper를 완전히 제거하는 방법을 알아냈습니다.


이 악성코드의 초기 공격 벡터와 배포 방식은 인기있는 스마트폰용 클리너 및 속도 최적화 앱으로 위장하는 것이며 대부분 러시아 (80.56%), 인도 (3.43%) 및 알제리 (2.43%)의 사용자들에게 영향을 미쳤습니다.


“이 클리너 앱은 설치된 후 메인 화면, 프로그램 메뉴에서 완전히 사라집니다. 시스템 설정에서 설치된 앱 목록을 검사해야만 찾을 수 있습니다.”


이 악성 앱은 설치된 후 자기 자신을 포그라운드 서비스로 등록한 후 타깃 기기의 식별 정보를 수집하여 공격자가 제어하는 원격 웹 서버로 전송하는 암호화된 페이로드를 추출합니다.


<이미지 출처 : https://thehackernews.com/2020/04/how-to-remove-xhelper-malware.html>



다음으로, 이 악성 앱은 일련의 안드로이드 루팅 익스플로잇을 트리거하고 기기의 OS에서 관리자 권한을 얻으려 시도하는 또 다른 난독화된 페이로드를 실행합니다.


“이 악성코드는 안드로이드 버전 6, 7을 사용하는 중국 제조사(ODM 포함)의 기기에서 루트 접근 권한을 얻을 수 있습니다.”


이 악성코드는 기기에 조용히 앉은 채 공격자의 명령을 기다립니다.


시만텍 연구원 또한 동일한 악성코드를 분석한 결과, 이는 통신이 인터셉트되는 것을 예방하기 위해 SSL 인증서 피닝을 사용한다는 것을 발견했습니다.


“이 악성코드는 수퍼 사용자로써 명령을 실행할 수 있는 기능을 갖춘 백도어를 설치합니다. 공격자는 모든 앱 데이터에 전체 접근 권한을 가지며 CookieTheif와 같은 다른 악성코드도 이를 사용할 수 있습니다.”


공격이 성공하면, 이 악성 앱은 루트 권한을 악용하여 악성 패키지 파일을 쓰기 모드에서 재마운트 한 후 시스템 파티션 (/system/bin folder)으로 직접 복사해 xHelper를 은밀히 설치합니다.


“타깃 폴더의 모든 파일은 변하지 않는 속성이 할당되어 있어 이 악성코드를 삭제하기가 힘들어집니다. 시스템은 이 속성을 가진 파일을 수퍼유저 조차 이를 삭제할 수 없도록 보호하기 때문입니다.”


더욱 흥미로운 점은, 정식 보안 앱이나 영향을 받은 사용자는 시스템 파티션을 단순히 재마운트함으로써 이 악성 파일을 영구적으로 제거할 수 있지만 xHelper 또한 감염된 사용자가 쓰기 모드에서 시스템 파티션을 재마운트 할 수 없도록 시스템 라이브러리 (libc.so)를 수정합니다.


“이 악성코드는 더 많은 악성 프로그램들을 다운로드 및 설치하고, Superuser와 같은 루트 접근 제어 애플리케이션을 제거합니다.


카스퍼스키에 따르면, 수정된 라이브러리를 안드로이드용 오리지널 펌웨어와 교체할 경우 쓰기 모드에서 시스템 파티션 마운팅이 다시 가능해져 Xhelper 안드로이드 악성코드를 영구적으로 제거할 수 있습니다.


하지만 악성코드를 위해 이러한 숙련된 기술이 필요한 절차를 따르기 보다, 백도어가 설치된 전화 기기에 제작사의 공식 웹사이트에서 다운로드한 새 펌웨어 사본으로 재플래시(re-flash)하거나 다르지만 호환 가능한 안드로이드 ROM을 설치하는 방법을 사용하는 것이 좋습니다.


현재 알약M에서는 해당 악성앱을 Trojan.Android.Agent로 탐지중에 있습니다. 




참고 :

https://thehackernews.com/2020/04/how-to-remove-xhelper-malware.html

https://securelist.com/unkillable-xhelper-and-a-trojan-matryoshka/96487/



티스토리 방명록 작성
name password homepage