2024-03-29 15:05 (금)
삭제 불가능 안드로이드 악성코드 ‘xHelper’…제거법 공개
상태바
삭제 불가능 안드로이드 악성코드 ‘xHelper’…제거법 공개
  • 장성협 기자
  • 승인 2020.02.18 18:59
이 기사를 공유합니다

최근 삭제 불가능한 것으로 알려졌던 xHelper 악성코드에 대해 스마트폰을 치료할 수 있는 방법이 공개돼 관심을 끌고 있다.

이 악성코드는 지난 2019년 3월 발견됐으며 휴대폰 공장 초기화 이후에도 제거가 되지 않는다고 알려져 있다.

특정 앱에 의해 유포되는 이 악성코드는 사용자에게 팝업 광고와 스팸 알림을 띄워 스마폰 사용에 큰 불편을 야기시킨다.

이 xHelper 악성코드는 지난 8월 3만2천대 이상을 감염시켰으며 지난 10월 시만텍 측은 4만5천대 스마트폰이 이 악성코드에 감염됐다고 밝혔다.

이 악성코드는 사용자가 기기를 공장 초기화할 때 마다 사용자와 상호작용 없이도 자기 자신을 재설치해 삭제를 못하도록 한다.

xHelper를 제거하는 유일한 방법은 안드로이드 OS 전체를 재설치해 기기 전체를 리플래시하는 방법이지만 쉽지 않다.

이에 보안연구원들은 공장 초기화 이후에도 xHelper가 다시 설치되는 것을 막을 수 있는 방법을 발견했다고 전했다. 연구원들은 xHelper가 재설치 작업을 시작하기 위해 구글 플레이 스토어 앱 내부 프로세스를 사용한다는 것을 알게 됐다.

연구원들이 소개한 악성코드 제거 방법은 다음과 같다.

△구글 플레이에서 파일 및 경로를 검색할 수 있는 파일 관리 앱을 다운로드한다.

△재설치 방지를 위해 임시로 구글 플레이를 비활성화한다.

△안드로이드용 백신앱을 통해 스캔을 실행해 xHelper 악성코드를 숨기고 있는 앱의 이름을 찾아낸다. 수동으로 제거하는 것은 어려울 수 있지만, 안드로이드 OS 앱 정보 섹션에서 찾아야 하는 이름은 fireway, xhelper 등이다.

△파일 관리자를 열고 com.mufc로 시작하는 항목을 찾는다.

△발견될 경우, 마지막 수정 날짜를 기록해둔다.

-파일 관리자에서 날짜 순으로 정렬한다.

- ASTRO의 경우 설정에서 정렬 조건을 변경할 수 있다.

△Com.mufc로 시작하는 모든 것을 삭제하고 동일한 날짜에 생성된 모든 파일을 삭제한다. 다만 Download 등 핵심 디렉토리는 삭제하지 않는다.

△구글플레이를 다시 활성화한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★