Le malware dispose d’un arsenal de huit exploits permettant d’obtenir les privilèges administrateur de presque n’importe quel terminal Android et, ainsi, de pouvoir installer ou désinstaller des applications.

Les chercheurs en sécurité de FireEye ont mis la main sur un nouveau publiciel malicieux sous Android, probablement d'origine chinoise. Baptisé Kemoge, il est diffusé par des boutiques applicatives alternatives où il se fait passer pour une véritable application (« Calculator », « Wifi Enhancer », « Sex Cademy »,…). Le malware se propage également directement au travers de bannières publicitaires et de sites web. Dès que l’utilisateur a installé le fichier .APK, Kemoge collecte des informations sur le terminal et met en route la machine à réclames. Des pubs s’affichent régulièrement, quel que soit l’activité de l’utilisateur, même quand il se trouve simplement sur l’écran d'accueil.



Mais Kemoge ne s’arrête pas au matraquage publicitaire. Il dispose également d’un volet malveillant. Il dépose sur le terminal un fichier MP4 dans lequel sont stockés, de manière chiffrée, pas moins de huit exploits permettant de « rooter » presque n’importe quel appareil Android, c’est-à-dire d’en obtenir les privilèges administrateur. Par la suite, le malware va télécharger et installer des applications ou, à l’inverse, en désinstaller. Tout dépendra des ordres qu’il recevra des serveurs de commande et de contrôle. Les échantillons analysés par FireEye ont, par exemple, désinstallé les logiciels antivirus, « probablement pour préparer d’autres attaques ».


Les chercheurs ont également trouvé une version allégée de Kemoge sur le PlayStore de Google. Déguisée en logiciel utilitaire (« ShareIt »), elle ne dispose pas d’exploit et ne réalise pas de communication C&C. Mais elle préserve sa fonction de matraquage publicitaire.