[轉載]新型安卓惡意程式：可自行Root並卸載安全軟體

PCM.DSD

FireEye Labs的安全研究人員發現了一個源自中國的Android惡意程式家族，它正迅速傳播到全世界20多個國家，它的指令控制伺服器（CC）功能變數名稱是aps.kemoge.net，因此被取名為Kemoge。Kemoge將合法應用重新打包，偽裝成合法應用上傳到第三方應用商店，通過網站和廣告宣傳，用戶一旦安裝之後它會收集設備資訊上傳到廣告伺服器，然後用廣告轟炸用戶。

Kemoge一開始只是惱人，但很快它會變得邪惡。它會調用一個多重加密的壓縮檔，該壓縮檔包含了最多8個root利用可執行工具，去獲取root許可權，將AndroidRTService.apk植入到系統分區/system。植入到系統分區之後用戶將設備恢復出廠設置也無法抹掉惡意程式。


惡意程式然後聯繫aps.kemoge.net獲取指令，將IMEI、IMSI、儲存資訊和安裝應用等資料上傳到CC伺服器，CC伺服器發回指令卸載安全應用和流行的合法應用。研究人員分析的樣本代碼中全都包含簡體中文字元，發現了一個叫Zhang Long的中國開發者。