Skip to main content

L’entreprise FireEye a mis la main sur un nouvel adware sous Android, Kemoge. Celui-ci a déjà atteint plus d’une vingtaine de pays.

Les Adware et autres programmes malveillants conçus pour diffuser des publicités et obtenir des informations sensibles de l’utilisateur ne sont pas nouveaux, en particulier sur Android. La plupart sont une nuisance mais certains font beaucoup de dégâts. C’est notamment le cas de Kemoge, un adware découvert par les chercheurs en sécurité de FireEye.

Kemoge se diffuse par des plateformes d’applications Android tierces, en se faisant passer pour une véritable application, mais aussi via des publicités sur Internet. Une fois l’installation du fichier .APK lancée, le logiciel malveillant infecte le terminal. Dès lors, il bombarde l’appareil de publicités tout en collectant des informations (IMEI, IMSI, données relatives aux applications installées, …) avant de les renvoyer sur un serveur distant. Avec toutes ses données, il tente d’exploiter 8 failles de sécurités connues pour rooter le terminal afin d’accéder à un contrôle total de l’appareil.

Pour ne pas éveiller les soupçons, son activité est masquée derrière des noms de paquets reprenant des noms de processus authentiques tels que com.facebook.qdservice.rp.provider ou com.android.provider.setting.

kemoge3

Afin de ne pas être repéré par un anti-virus installé sur l’appareil, Kemoge ne communique avec le serveur distant qu’une fois par jour. Ce dernier lui envoie alors trois ordres : désinstaller des applications, lancer des applications ou télécharger/installer des applications depuis une URL.

kemoge1

Selon FireEye, Kemoge vient de Chine et se serait déjà propagé dans une vingtaine de pays à travers le monde entier. À l’heure actuelle, le blog ne propose pas de méthode pour supprimer le logiciel malveillant mais recommande aux utilisateurs de ne pas installer d’applications provenant de sites tiers et de garder leurs appareils à jour.