Kemoge, le nouvel adware alarmant découvert par FireEye

 
FireEye, l’entreprise américaine spécialisée dans la sécurité informatique, a publié ce mercredi un long message sur son blog afin de dévoiler quelques détails sur Kemoge, un adware qui pourrait bien se montrer très dérangeant. Ayant déjà atteint plus d’une vingtaine de pays, celui-ci est particulièrement intelligent.
kemoge3

Kemoge est un adware provenant apparemment de Chine qui se propage actuellement sur certains terminaux Android en se faisant passer pour une application connue telle que Sex Cademy, Talking Tom 3, ou WiFi Enhancer. Une quinzaine de formes différentes ont ainsi été relevées par FireEye.

Installé depuis des boutiques d’applications tierces ou depuis des publicités affichées sur Internet et dans certaines applications, Kemoge tente de prendre le contrôle de l’appareil sur lequel il est installé. Pour cela, il tente d’exploiter 8 failles de sécurités connues afin de rooter le terminal, dont certaines utilisées par des outils réputés comme Root Dashi ou Root Master, et obtenir davantage de marge de manœuvre. Il collecte ensuite des informations (IMEI, IMSI, données concernant les applications installées, sur la mémoire interne…) et les renvoie sur un serveur distant, le tout en cachant son activité derrière des noms de paquets usurpant l’identité de processus authentiques comme com.facebook.qdservice.rp.provider ou com.android.provider.setting.

Une menace embêtante

Afin d’éviter d’être repéré par un quelconque système de sécurité, Kemoge ne communique avec le serveur distant qu’une fois toutes les 24 heures, restant ainsi dans l’ombre. Le serveur en question lui envoie alors des ordres répartis en trois types :

  • Désinstaller des applications ;
  • Lancer des applications ;
  • Télécharger et installer des applications depuis une URL donnée.

En outre, il fait constamment tourner de la publicité sur l’appareil, ce qui a pour conséquence l’affichage de bannières impromptues lors de l’utilisation, y compris en restant sur l’écran d’accueil.

Encore peu de solutions

ShareIt (du développeur Zhang Long), une application disponible sur le Google Play Store, présentait les mêmes caractéristiques que Kemoge, à l’exception du fait qu’il lui était impossible de rooter l’appareil et d’exécuter les commandes réclamées par le serveur distant. De son côté, Google a déjà été mis au courant du problème, et a déjà retiré l’application de sa boutique. Afin d’éviter toute infection, la prudence reste donc le meilleur des boucliers, et FireEye rappelle quelques conseils de sécurité évidents :

  • Ne jamais cliquer sur un lien suspect dans un mail, un SMS, sur un site ou une publicité ;
  • Ne pas installer d’applications d’une autre source que le Google Play Store ;
  • Toujours faire les mises à jour lorsqu’elles sont disponibles.

Malheureusement, cela ne suffit pas toujours… Restez vigilants !


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.

Les derniers articles