FireEye Labs的安全研究人員發現了一個源自中國的Android惡意程序家族， 它正迅速傳播到全世界20多個國家，它的指令控制服務器(CC)域名是aps.kemoge.net，因此被取名為Kemoge。Kemoge將合法應用 重新打包，偽裝成合法應用上傳到第三方應用商店，通過網站和廣告宣傳，用戶一旦安裝之后它會收集設備信息上傳到廣告服務器，然后用廣告轟炸用戶。

Kemoge一開始只是惱人，但很快它會變得邪惡。它會調用一個多重加密的壓縮文件，該壓縮文件包含了最多8個root利用可執行工具，去獲取root權限，將AndroidRTService.apk植入到系統分區/system。植入到系統分區之后用戶將設備恢復出廠設置也無法抹掉惡意程序。

惡意程序然后聯系aps.kemoge.net獲取指令，將IMEI、IMSI、儲存信息和安裝應用等數據上傳到CC服務器，CC服務器發回指令卸載安全應用和流行的合法應用。研究人員分析的樣本代碼中全都包含簡體中文字符，發現了一個叫Zhang Long的中國開發者。