Uma coisa é certa. Malwares para o Android e problemas de segurança ( como o Stagefright 2.0 ) estão pipocando para o sistema operacional.

Isto acontece pois, sempre que algo ganha a liderança do mercado, criar malwares para ele fica rentável pois tem-se cada vez mais usuários leigos no cenário e portanto, alvos fáceis para qualquer tipo de malware.

O chato deste novo malware é que além de ser baseado naqueles irritantes anúncios, ele pode detonar o seu dispositivo de acordo com pesquisadores da FireEye.

Como o recém descoberto Mapin que se espalhou e conseguiu se instalar em programas muito utilizados como Plants vs Zombies e Candy Crush, o Kemoge está se propagando em produtos legítimos ou seja, apps legítimos inclusive alguns de segurança.

O Kemoge foi encontrado no Easy Locker e no Privacy Lock e outros como Sharelt, Calculator e o Kiss Browser.

O Kemoge primeiro recolhe informações do dispositivo e começa a servir anúncios de forma bem descontrolada inclusive mesmo quando o usuário não está fazendo nada na tela inicial do Android.

De acordo com o relatório da FireEye o Kemoge no início é somente irritante mas logo ele se transforma em algo muito mal.

O Kemoge também consegue efetuar o root no aparelho com até oito exploits diferentes criados para comprometer uma gama bem grande de modelos de dispositivos que rodam o Android.

De acordo com o relatório alguns dos exploits são da ferramenta comercial Root Dash ( que também é chamado de Root Master ) e outros são de projetos de código aberto.

Os métodos incluem mempodroid, motochopper,  perf_swevent exploit , sock_diag exploit e o  put_user exploit.

Uma vez que o dispositivo está rooteado o Kemoge recebe instruções de seu servidor de comando e controle e desinstala aplicativos específicos como Anti-vírus e aplicativos legítimos populares , inicia aplicativos populares ou então, instala aplicativos a partir de URLs fornecidas pelo seu servidor C2.

Os autores do Kemoge estão publicando seus aplicativos em lojas de terceiros mas, uma versão alterada do Sharelt chegou a aparecer na Google Play Store.

Mas ali ele só incluiu a versão adware ( que enche seu dispositivo de anúncios ), não incluindo a camada que faz o root e a funcionalidade C2.