XcodeGhost、YiSpecter两个彻底打破苹果安全神话的iOS恶意软件都来自国人,而在Android世界里,国产的恶意软件、病毒木马更是层出不穷。近日,FireEye Labs又发现了一个源自中国的Android恶意软件家族,已经迅速传播到全世界20多个国家和地区,一些政府部门和大型机构都被感染了。
由于它的指令控制服务器域名是aps.kemoge.net,因此被取名为“Kemoge”。
Kemoge会将正常应用重新打包,然后伪装上传到第三方应用商店,通过网站和广告宣传散播,一旦安装就会收集设备和用户信息,上传到广告服务器,然后发动广告轰炸。
而且它并不仅仅是如此烦人,还非常邪恶,会调用一个多重加密的ZIP压缩文件,其中包含了多达八个Root工具,总能获取设备的Root权限,然后将AndroidRTService.apk安装包植入到系统分区/system,因此就算将设备恢复到出厂状态,也无法将其抹掉。
Kemoge然后就联系aps.kemoge.net获取指令,将IMEI、IMSI、储存信息、安装应用等数据上传到指令控制服务器,后者再发回指令,卸载用户的安全应用和常见的正常应用。
目前分析的样本代码中,全都包含简体中文字符,而且安全人员从中发现了一个名为Zhang Long的开发者,再考虑到cn.wap3、com.renren、com.tencent等所用的第三方库,因此高度怀疑它来自中国。