Die Malware wird von Angreifern in alternative Appstores hochgeladen und nutzt die Icons beliebter Anwendungen, um sich zu tarnen. Die gefälschten Apps werden dann über Pop-up-Ads auf verschiedenen Webseiten und in anderen Apps beworben, um sich zu verbreiten. Nutzer müssen die Apps in den meisten Fällen selbst herunterladen, einige "aggressive Werbenetzwerke" sollen die Malware aber sogar direkt installieren können.
Beim ersten Start ermittelt Kemoge Informationen über das infizierte Gerät und lädt diese auf den Command-and-Control-Server hoch. Dann zeigt die Malware Werbeanzeigen auf dem Gerät der Nutzer an, teilweise soll dies sogar als Pop-up auf dem Homescreen der Anwender geschehen. Die Malware lädt dann den verschlüsselten Payload, in dem eine als .mp4 getarnte, passwortgeschützte Zip-Datei auf dem System entpackt wird.
In der Zip-Datei sind nach Angaben von Fireeye acht Root-Verfahren enthalten. Darunter sind mempodroid, motochopper, perf_swevent, sock_diag und put_user. Einige der Verfahren stammen vermutlich aus Open-Source-Projekten, andere nutzen kommerzielle Lösungen wie Root Dashi oder Root Master.
Ist das Gerät erfolgreich gerootet, führt die Malware root.sh aus, um dauerhaft im System aktiv zu bleiben (Persistenz) und ersetzt den ursprünglichen App-Launcher. Die Macher der Software haben große Anstrengungen unternommen, um unentdeckt zu bleiben, indem sie unverdächtige Domains nutzen und nur sporadisch Verbindung zum Command-and-Control-Server aufnehmen.
Der Server weist die Malware an, bestimmte Apps von dem Gerät zu entfernen und bei Bedarf neue zu installieren. Fireeye zeigt abgefangene Kommandos des Servers, mit denen die Anti-Virus-Software Lookout vom Gerät entfernt werden soll. Fireeye stellt eine Liste mit allen betroffenen Apps bereit.
Beim ersten Start ermittelt Kemoge Informationen über das infizierte Gerät und lädt diese auf den Command-and-Control-Server hoch. Dann zeigt die Malware Werbeanzeigen auf dem Gerät der Nutzer an, teilweise soll dies sogar als Pop-up auf dem Homescreen der Anwender geschehen. Die Malware lädt dann den verschlüsselten Payload, in dem eine als .mp4 getarnte, passwortgeschützte Zip-Datei auf dem System entpackt wird.
In der Zip-Datei sind nach Angaben von Fireeye acht Root-Verfahren enthalten. Darunter sind mempodroid, motochopper, perf_swevent, sock_diag und put_user. Einige der Verfahren stammen vermutlich aus Open-Source-Projekten, andere nutzen kommerzielle Lösungen wie Root Dashi oder Root Master.
Ist das Gerät erfolgreich gerootet, führt die Malware root.sh aus, um dauerhaft im System aktiv zu bleiben (Persistenz) und ersetzt den ursprünglichen App-Launcher. Die Macher der Software haben große Anstrengungen unternommen, um unentdeckt zu bleiben, indem sie unverdächtige Domains nutzen und nur sporadisch Verbindung zum Command-and-Control-Server aufnehmen.
Der Server weist die Malware an, bestimmte Apps von dem Gerät zu entfernen und bei Bedarf neue zu installieren. Fireeye zeigt abgefangene Kommandos des Servers, mit denen die Anti-Virus-Software Lookout vom Gerät entfernt werden soll. Fireeye stellt eine Liste mit allen betroffenen Apps bereit.
