Kemoge : un nouveau dangereux malware Android
lun, 19/10/2015 - 15:36
La société FireEye vient de publier un billet révélant l'existence d'un nouveau et dangereux malware Android. Celui-ci a été baptisé Kemoge à partir de son domaine CnC (Command and Control) aps.kemoge.net.
Ce malware, au départ, imite des applications connues. Ces applications sont déposées dans des stores Android tiers. On ne les trouve pas sur le Play Store de Google. FireEye a identifié une douzaine de fausses applications, parmi lesquelles Sex Cademy, Kiss Browser, WiFi Enhancer, Shareit... Il s'installerait aussi depuis des publicités en ligne agressives capables de gagner les privilèges root.
Ce malware semble issu de Chine, il se répand rapidement au niveau mondial et 20 pays dont la France sont déjà très touchés.
Une fois installé, Kemoge recueille des informations sur l'appareil et les envoie à un serveur. Il sait se montrer discret et ne communique ainsi avec son serveur associé qu'une fois toutes les 24 heures, pour éviter de se faire repérer.
Parallèlement il s'efforce de rooter le smartphone en essayant tour à tour les 8 rootkits qu'il embarque, et qui exploitent des vulnérabilités Android connues. S'il y parvient, il exécute root.sh pour obtenir la persistance, puis il s'incruste dans la partition /system en tant que Launche0928.apk, imitant ainsi le launcher légitime de l'appareil.
Une fois confortablement installé, il demande des commandes à exécuter à son serveur associé qui en retour lui demandera de désinstaller certaines applications, des antivirus notamment, de lancer d'autres applications, et bien sûr d'en installer à partir des URL qui lui sont ainsi fournies.
Pour l'occasion FireEye recommande de ne jamais télécharger d'application en dehors du Play Store, et de s'abstenir de cliquer sur des liens suspects.