XcodeGhost、YiSpecter两个彻底打破苹果安全神话的iOS恶意软件都来自国人，而在Android世界里，国产的恶意软件、病毒木马更是层出不穷。近日，FireEye Labs又发现了一个源自中国的Android恶意软件家族，已经迅速传播到全世界20多个国家和地区，一些政府部门和大型机构都被感染了。

由于它的指令控制服务器域名是aps.kemoge.net，因此被取名为“Kemoge”。

Kemoge会将正常应用重新打包，然后伪装上传到第三方应用商店，通过网站和广告宣传散播，一旦安装就会收集设备和用户信息，上传到广告服务器，然后发动广告轰炸。

而且它并不仅仅是如此烦人，还非常邪恶，会调用一个多重加密的ZIP压缩文件，其中包含了多达八个Root工具，总能获取设备的Root权限，然后将AndroidRTService.apk安装包植入到系统分区/system，因此就算将设备恢复到出厂状态，也无法将其抹掉。

Kemoge然后就联系aps.kemoge.net获取指令，将IMEI、IMSI、储存信息、安装应用等数据上传到指令控制服务器，后者再发回指令，卸载用户的安全应用和常见的正常应用。

目前分析的样本代码中，全都包含简体中文字符，而且安全人员从中发现了一个名为Zhang Long的开发者，再考虑到cn.wap3、com.renren、com.tencent等所用的第三方库，因此高度怀疑它来自中国。

传播地区

这些看起来很正常的应用都包含了Kemoge

Kemoge感染、作恶过程

Kemoge AndroidManifest.xml代码片段

ZIP文件解密过程

被感染的ShareIt竟然出现在了Google Play