La société FireEye met en avant la découverte d'un malware baptisé Kemoge distribué sur une partie des stores alternatifs et donc non sécurisé par Google.

Le malware se fait ainsi passer pour une véritable application parmi les applis les plus populaires et les plus anodines en apparence comme des logiciels de calculatrice, de météo, d'amélioration du WiFi ou de tests sur des connaissances diverses. Mais Kemoge a également la particularité de se propager directement depuis les bannières publicitaires des sites.

Kemoge

Une fois l'APK installé sur le terminal, Kemoge entame son travail de fond : la récupération des informations concernant le terminal et la diffusion de spots publicitaires. Que l'utilisateur lance l'application concernée ou pas, les publicités s'affichent sous la forme de popups, y compris après un redémarrage sur l'écran d'accueil.

L'affaire devient plus gênante encore quand on sait que le malware dispose également d'un lot de 8 exploits permettant de "rooter" presque n'importe quel terminal sous Android. En somme, il peut potentiellement obtenir les privilèges administrateur à tout moment et commander le téléchargement d'autres applications. Le contrôle distant lui permettrait également de prendre des smartphones et tablettes en otage. La situation est inquiétante quand on sait qu'avec ces privilèges, le malware peut également désinstaller ou bloquer l'installation de certaines applications, les antivirus par exemple.

Une variante plus soft de Kemoge a également été repérée sur le Google PlayStore. Sous l'apparence de l'application baptisée Shareit, elle intègre la diffusion de publicités, mais pas les exploits cités.

Source : FireEye