Após o caso Stagefright, que voltou permitindo a invasão a dispositivos Android com simples arquivos MP3 ou MP4, os pesquisadores de segurança da FireEye descobriram uma nova ameaça. O Kemoge, como eles apelidaram, é uma campanha de adware agressiva, que tem como alvo os dispositivos Android em mais de 20 países.

O software malicioso está se espalhando pelos telefones e tablets Android, se disfarçando em aplicativos populares, com adware adicionado através de um reempacotamento. Uma vez que o usuário instala o software infectado, o adware trabalhará recolhendo os dados do usuário para vender, o que resultará em anúncios irritantes de forma agressiva.

Se você está pensando que não há nada de muito perigoso nisso, o Kemoge aparentemente não para por aí. Os aplicativos que servem de disfarce podem também, em seguida, tentar explorar oito métodos comuns de raiz do Android, a fim de se firmarem profundamente e tomar o sistema. Não está claro o quão bem sucedido o malware é em executar essas ações e se é capaz de controlar os dispositivos, mas se alcançado este nível do sistema, os processos comuns, tais como com.facebook.qdservice.rp.provider são imitados para fazer a remoção do adware muito mais difícil e ele ainda tenta desinstalar alguns pacotes de programas antivírus de dispositivos.

No entanto, nada de desespero. Os pesquisadores observaram que esses aplicativos estão sendo baixados para dispositivos dos usuários através de lojas de aplicativos de terceiros e instalações baseadas em anúncios web, que tentam enganar os visitantes de sites através de pop-ups para que eles façam download de software ou tentam convencer de que há um premio gratuito.

O FireEye deu ainda como exemplo um aplicativo que foi assinado pelo mesmo certificado de desenvolvedor como um aplicativo recentemente encontrado na Play Store oficial da Google. Embora o aplicativo disponível na Google Play não continha qualquer funcionalidade maliciosa, outras funções poderiam ser adicionadas on the fly por um dos servidores do aplicativo que o app pode se conectar. A Google, desde então, removeu o app. No entanto, não há nenhuma evidência para sugerir que esta campanha adware maliciosa esteja afetando serviços de aplicativos legítimos.

Os pesquisadores ressaltam que este é mais um lembrete de que lojas legítimas são o lugar mais seguro para baixar seus aplicativos Android, ao invés de optar por lojas de terceiros.