Se ha descubierto un nuevo tipo de adware (programa que automáticamente muestra publicidad web al usuario durante su instalación o durante su uso para generar lucro a sus autores) que rootea el dispositivo una vez el usuario lo instala, y luego se queda en el móvil como una aplicación del sistema.
Al convertirse a sí mismo en una aplicación del sistema, se hace totalmente invulnerable a cualquier intento de eliminación por parte del usuario. Ésta es una nueva y sofisticada versión del típico adware que, normalmente, tiende a hacerse a sí mismo completamente insoportable al presentar al usuario nuevos anuncios de manera continua.
Este tipo de malware tiene acceso root, no necesita acosar constantemente al usuario, y lo peor es que la mayoría de usuarios ni siquieran sabrán que han sido afectados.
Esta familia de troyanos se esconde en el interior del código de aplicaciones como Candy Crush, Google Now, Facebook o Twitter, y éstos son sólo algunos ejemplos de las más de 20.000 aplicaciones que han podido ser infectadas. A pesar de todo, las versiones infectadas de estas aplicaciones no están directamente disponibles desde la Google Play Store, sino que son descargadas a través de tiendas de terceros.
Normalmente, a las aplicaciones no se les suele dar acceso a archivos creados por otras aplicaciones, pero al conseguir perpetrar el root, el malware sobrepasa esta protección, lo que podría exponer a dispositivos infectados a fraude y robo de datos personales importantes.
Por el momento se han identificado tres versiones de este troyano: Shuanet, Kemoge y GhostPush. Estas familias de adware tienen diseñadores diferentes pero comparten un 77% de su código.