xHelper Android 악성코드: 공장 초기화에도 제거 불가

Source

• Evernote/Inbox/A nearly impossible to remove Android malware has infected 45,000 devices.md

Summary

xHelper는 Android 기기에 감염된 후 팝업 광고 및 원치 않는 알림을 생성하는 트로이 목마 악성코드입니다. Symantec에 따르면 최근 6개월간 45,000대 이상의 기기가 감염되었습니다. 이 악성코드의 가장 큰 특징은 제거의 어려움으로, 앱 아이콘을 숨기고 백그라운드 서비스로 동작하며, 심지어 공장 초기화(factory reset) 후에도 재감염되는 강력한 지속성(persistence)을 보입니다. 주로 Play Store 외부의 웹사이트를 통한 사이드로딩(sideload) 경로로 유포되며, 현재는 광고 수익을 목적으로 하지만 원격 명령 수신 기능으로 인해 향후 더 심각한 보안 위협으로 진화할 가능성이 있습니다.

Key Points

• 악성코드명: xHelper (Android 트로이 목마)
• 감염 규모: Symantec 기준 45,000대 이상 (최근 6개월)
• 주요 증상: 팝업 광고, 원치 않는 알림, 앱 아이콘 숨김
• 특징: 공장 초기화 후에도 재감염되는 강력한 지속성 (기작은 아직 명확히 해독되지 않음)
• 유포 경로: Play Store 외부 웹사이트를 통한 사이드로딩
• 위험성: 현재는 광고 수익 중심이나, 원격 명령 수신 기능으로 인해 향후 더 심각한 악성 활동으로 확장 가능

Related

• Pressy: Android용 원버튼 컨트롤러

• Cyanogen, 일반 사용자를 위한 Android 설치 앱 출시

• BitTorrent Bleep: P2P 암호화 메신저

• iOS 충전기 해킹 취약점 (조지아공대 연구)

• 모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협

• 드라이브 바이 다운로드 공격 기법 및 사례 분석

• 검색만으로도 해킹에 노출된 청소년들

• 사인 가이드 (2012 년 기준)

• 검색 결과 페이지의 해적들 (Pirates of the search results page)

• CES 2015 웨어러블: 미처 보지 못한 것들 (TechCrunch)

• Node.js on Android

• Debian Kit for Android

• 웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요

• QEMU(ARM)에 Android 포팅하기 - 1. 준비

• Debian for Android (Doviak)

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• Node.js on Android (2013)

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• Android SDK 설치 가이드 (Windows, Mac, Linux)

• CAMP: Content-Agnostic Malware Protection

• XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개

• 일베 게시글: 해킹툴 판매자 신고 가이드 (2013)

• 니들이 해킹을 알어? - 1부 (디스이즈게임 연재)

• A journey on the Android Main Thread - Part 1

• 모니터링 대상 중국 해커 커뮤니티 및 사이트 목록 (2006)

• DDoS 공격 시각화: VideoLAN 사례

• 실용적인 HTTP Host 헤더 공격

• 2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)

• 어나니머스 코리아 실체 논란 및 보안 전문가의 비판

• 미국 침입자 사살 허용설 반박

• Etsy의 비판 없는 사후 분석 (Blameless Postmortem)

• Rustle League, Anonymous 관련 계정 해킹

• Brute-Force Attacks Explained: How All Encryption is Vulnerable

• 나쁜 인증 시도 방어하기 (1 편)

• 중국 해킹툴 관련 사이트 목록 (2007)

• Please don’t use these passwords. Sincerely, the Internet

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• 알람 시계 분해 및 회로 분석

• HTTP 기반 애플리케이션 방화벽 정책 분석

• WPA)

• CSRF)

• 맷 호난(Mat Honan) 아이클라우드 해킹 사건 분석

• Authentication at Scale

• Rogue Femtocell Owners: How Mallory Can Monitor My Devices

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• APT(지능형 지속 위협) 개요 및 주요 사례

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• Android 기기에서 Evernote 전체 페이지 클리핑 활성화 방법

• Android Smali 기초 문법 및 구조 분석

• Android StrictMode 활용 가이드

• SCR Screen Recorder for Android

• Android Kernel Panic: Init Process Kill 및 Samsung.rc 오류

• Linux과 Arduino를 결합한 단일 보드 컴퓨터