O Android tem sido um dos focos principais para usuários maliciosos. A partir de uma simples mensagem de texto ele pode ser invadido remotamente através do bug “stagefright” deixando bilhões de usuários vulneráveis.

Agora, o mais recente malware chama-se “Kemoge“, que estreia como um adware nos dispositivos Androids, permitindo que lojas de aplicativos de terceiros obtenham informações de seu dispositivo e assumam o controle total do mesmo.

Pesquisadores descobriram que a família maliciosa adware está se espalhando em 20 países ao redor do planeta. Além disso, suspeita-se que a origem do ataque é da China.

O que é o Kemoge?

Esse nome foi dado devido ao domínio de comando e controle do adware: aps.kemoge.net.

O Kemoge é um adware que se disfarça com o nome de aplicativos populares e reformulados com códigos maliciosos e torna-os disponíveis para o usuário.

Eles usam o mesmo nome de desenvolvedor, usados pelos aplicativos verificados e limpos na Play Store oficial.

Alguns dos aplicativos populares afetados são: Talking Tom 3, Calculator, Shareit, Assistive Touch e WiFi Enhancer.

Como o Kemoge funciona?

1. O invasor configura uma interface praticamente igual a verdadeira, carrega os aplicativos de terceiros e de forma inteligente promove os links para download através de sites e aplicativos de anúncios.
2. Algumas redes agressivas de anúncio com privilégios de root podem automaticamente instalar as amostras.
3. Uma vez ativado no dispositivo, o Kemoge recolhe informações sobre o mesmo e transfere para o servidor de anúncios, então ele maliciosamente serve anúncios em segundo plano.
4. As vitimas recebem frequentemente os banners de anúncio independente da atividade atual tais como anúncios de pop-up, mesmo quando o usuário permanece na tela inicial do Android.

Kemoge também afeta aparelhos rooteados

O adware injeta oito exploits, tendo como alvo uma ampla gama de modelos de smartphones.

Algumas dos exploits são compilados a partir de projetos de código aberto e alguns da ferramenta comercial “Root Dashi” (ou “Root Master”).

Além disso, o serviço de sistema malicioso (Launcher0928.apk) contata o domínio aps.kemoge.net para receber os comandos.

Como Kemoge evita a detecção?

Para evitar ser detectado, Kemoge se comunica com os servidores em vários intervalos de tempo. Ele executa código malicioso brevemente no primeiro lançamento ou 24 horas após a instalação.

Em cada comunicação, os dados são enviados, incluindo IMEI, IMSI, informações de armazenamento do telefone e informações do aplicativo instalado para servidores remotos de terceiros.

Após o upload de informações do dispositivo, o Kemoge solicita comandos do servidor, e três comandos são executados:

• Desinstalar aplicativos designados
• Iniciar aplicativos designados
• Baixar e instalar aplicativos a partir de URLs fornecidas pelo servidor

Como se proteger?

O Kemoge é uma ameaça perigosa e para ficar seguro é recomendado:

• Nunca clicar em links suspeitos de emails, SMS, sites ou propagandas;
• Nunca instalar aplicativos fora da Google Play Store oficial;
• Manter seus dispositivos Android atualizados;
• Desinstalar aplicativos que mostrem anúncios.

Acesse o conteúdo original (em inglês) no link.