사용자 몰래 악성 앱을 내려받고 광고를 표시하는 악성코드 '엑스헬퍼(xHelper)'가 발견됐다. 6개월간 안드로이드 기기 4만5천대 이상이 이 악성코드에 감염된 것으로 나타났다.
이 악성코드는 사용자가 악성코드가 담긴 앱을 삭제해도 스스로 앱을 재설치하고, 이를 사용자가 알지 못하도록 앱 아이콘을 숨겼다. 때문에 사용자가 앱을 수동 실행하는 것이 불가능했다. 대신 기기 충전이 시작되거나 충전이 중단될 때, 기기가 재부팅되거나 앱 설치 또는 제거 시점에 앱이 실행됐다. 공장 초기화를 실행해도 악성코드가 사라지지 않았다.
글로벌 보안 기업 시만텍은 29일(미국시간) 자사 블로그를 통해 이 악성코드에 대한 분석 결과를 공유했다.
엑스헬퍼는 감염된 사용자에게 스팸 알림과 광고 팝업창을 표시했다. 이를 통해 사용자가 구글 플레이 스토어에서 다른 앱을 설치하도록 유도했다. 이런 방식으로 앱이 설치되는 것에 따른 수수료 수익을 노렸다.
보안 업체 맬웨어바이트에서도 엑스헬퍼에 대한 분석 결과를 지난 26일 자사 블로그에 게재했다.
블로그 내용에 따르면 사용자는 엑스헬퍼를 호스팅하는 웹페이지로 연결되는 웹 리디렉트를 통해 감염됐다. 구글 플레이스토어가 아닌 외부에서 악성 앱을 내려받게 되는 것이다.
이 악성코드는 지난 3월 처음 발견됐다. 당시 주요 기능은 광고 페이지 접속을 유도하는 앱이었다. 차후 시간이 지나면서 코드 내용이 바뀌었다. 알려진 악성코드 패턴을 활용하는 시그니처 기반 악성코드 탐지를 회피하기 위해 앱에 기록돼 있던 C2 서버 연결 기능을 암호화된 페이로드로 옮겼다.
시만텍은 이 악성코드의 기능이 지속적으로 확장되고 있고, 현재도 진행중이라고 설명했다.
인도 통신사 '지오' 가입자를 공격 목표로 할 것이라는 분석도 내놨다. 소스 코드 내용에서 '지오(Jio)'로 표시된 클래스와 상수 변수들을 다수 발견했기 때문이다.
관련기사
- 전력기관 노린 사이버공격, 최근 5년간 1천여건2019.10.30
- "금융정보 겨냥 악성코드 '이모텟' 되살아났다"2019.10.30
- 금보원 "금융사·소비자 대상 이메일 공격 확산"2019.10.30
- 지니언스, 보안 스타트업과 악성코드 분석 협업2019.10.30
회사는 지난 한 달간 일 평균 131명이 이 악성코드에 감염되고 있다고 밝혔다. 주로 인도, 미국, 러시아에서 악성코드 감염 피해가 발생했다.
안드로이드 기기 사용자에 대해서는 ▲소프트웨어 최신 버전 유지 ▲낯선 사이트에서 앱 다운로드 금지 ▲앱에서 요청하는 사용 권한 부여에 대한 주의 ▲모바일 보안 앱 사용 ▲중요 데이터 백업 등의 보안 수칙을 권고했다.