O Android tem sido um dos focos principais para usuários maliciosos. A partir de uma simples mensagem de texto ele pode ser invadido remotamente através do bug “stagefright” deixando bilhões de usuários vulneráveis.
Agora, o mais recente malware chama-se “Kemoge“, que estreia como um adware nos dispositivos Androids, permitindo que lojas de aplicativos de terceiros obtenham informações de seu dispositivo e assumam o controle total do mesmo.
Pesquisadores descobriram que a família maliciosa adware está se espalhando em 20 países ao redor do planeta. Além disso, suspeita-se que a origem do ataque é da China.
O que é o Kemoge?
Esse nome foi dado devido ao domínio de comando e controle do adware: aps.kemoge.net.
O Kemoge é um adware que se disfarça com o nome de aplicativos populares e reformulados com códigos maliciosos e torna-os disponíveis para o usuário.
Eles usam o mesmo nome de desenvolvedor, usados pelos aplicativos verificados e limpos na Play Store oficial.
Alguns dos aplicativos populares afetados são: Talking Tom 3, Calculator, Shareit, Assistive Touch e WiFi Enhancer.
Como o Kemoge funciona?
- O invasor configura uma interface praticamente igual a verdadeira, carrega os aplicativos de terceiros e de forma inteligente promove os links para download através de sites e aplicativos de anúncios.
- Algumas redes agressivas de anúncio com privilégios de root podem automaticamente instalar as amostras.
- Uma vez ativado no dispositivo, o Kemoge recolhe informações sobre o mesmo e transfere para o servidor de anúncios, então ele maliciosamente serve anúncios em segundo plano.
- As vitimas recebem frequentemente os banners de anúncio independente da atividade atual tais como anúncios de pop-up, mesmo quando o usuário permanece na tela inicial do Android.
Kemoge também afeta aparelhos rooteados
O adware injeta oito exploits, tendo como alvo uma ampla gama de modelos de smartphones.
Algumas dos exploits são compilados a partir de projetos de código aberto e alguns da ferramenta comercial “Root Dashi” (ou “Root Master”).
Além disso, o serviço de sistema malicioso (Launcher0928.apk) contata o domínio aps.kemoge.net para receber os comandos.
Como Kemoge evita a detecção?
Para evitar ser detectado, Kemoge se comunica com os servidores em vários intervalos de tempo. Ele executa código malicioso brevemente no primeiro lançamento ou 24 horas após a instalação.
Em cada comunicação, os dados são enviados, incluindo IMEI, IMSI, informações de armazenamento do telefone e informações do aplicativo instalado para servidores remotos de terceiros.
Após o upload de informações do dispositivo, o Kemoge solicita comandos do servidor, e três comandos são executados:
- Desinstalar aplicativos designados
- Iniciar aplicativos designados
- Baixar e instalar aplicativos a partir de URLs fornecidas pelo servidor
Como se proteger?
O Kemoge é uma ameaça perigosa e para ficar seguro é recomendado:
- Nunca clicar em links suspeitos de emails, SMS, sites ou propagandas;
- Nunca instalar aplicativos fora da Google Play Store oficial;
- Manter seus dispositivos Android atualizados;
- Desinstalar aplicativos que mostrem anúncios.
Acesse o conteúdo original (em inglês) no link.
