Κατά τη διάρκεια της διαδικασίας ανάπτυξης, ο δημιουργός του Xbot Android malware εισήγαγε στον κώδικα επιθετικό string που απευθύνεται σε προϊόντα antivirus, πιθανόν επειδή το λογισμικό δεν περνούσε από τη διαδικασία της ανίχνευσης.
Το Xbot έχει εντοπιστεί σε ανεπίσημες αγορές για Android apps που υποτίθεται παρέχουν δημοφιλή προϊόντα όπως το πρόγραμμα περιήγησης Opera, το Minecraft ή ακόμη και το Google Play.
Το συγκεκριμένο κακόβουλο λογισμικό δεν αποτελεί αυτούσια μια εφαρμογή, καθώς ο δημιουργός απλώς πρόσθεσε κακόβουλο κώδικα για να τον ενσωματώσει σε νόμιμα προϊόντα.
Ερευνητές της Avast παρακολούθησαν τη δραστηριότητα του Xbot και παρατήρησαν ότι πάνω από 350 μοναδικά αρχεία διανεμήθηκαν μέσω third-party marketplaces από τις αρχές του Φεβρουαρίου.
Τα δεδομένα τηλεμετρίας της εταιρείας ασφαλείας έδειξαν ότι πραγματοποιήθηκαν πάνω από 2.570 εγκαταστάσεις με βάση τα unique GUID (Globally Unique Identifier).
Μετά τη μόλυνση, το κακόβουλο λογισμικό τρέχει μια ρουτίνα για να εξασφαλιστεί η παραμονή του στο σύστημα και ξεκινά τη δραστηριότητά του μετά την επανεκκίνηση της συσκευής. Ζητά επίσης για ένα μεγάλο αριθμό dodgy δικαιωμάτων που αυτή τη στιγμή επικεντρώνονται στην καταγραφή, την ανάγνωση και τη γραφή σύντομων μηνυμάτων κειμένου.
Στις διαθέσιμες λειτουργίες, παριλαμβάνεται η παρακολούθηση των εισερχόμενων μηνυμάτων κειμένου για ορισμένες λέξεις-κλειδιά και η μεταφόρτωσή τους σε ένα απομακρυσμένο Command & Control (C&C) server.
Μία επιπλέον δυνατότητα αφορά στην αποστολή SMS από τη μολυσμένη συσκευή σε επιλεγμένους αριθμούς. Αυτό χρησιμοποιείται για την αποστολή κειμένων σε αριθμούς υψηλής χρέωσης, όπως παρατηρείται από την Avast κατά την ανάλυση διαφόρων δειγμάτων του malware.
Υπάρχει επίσης η δυνατότητα της ανάκτησης περιεχομένου από έναν σύνδεσμο που παρέχεται από τον C & C server, ο οποίος μπορεί επίσης να στείλει εντολές για παρακολούθηση της συσκευής.
Δεν είναι ασυνήθιστο για τους δημιουργούς κακόβουλου λογισμικού να εισάγουν συμβολοσειρές κειμένου που δεν έχουν καμία σχέση με τον κώδικα της απειλής. Στην περίπτωση του Shylock, επίσης γνωστή ως Caphaw, οι προγραμματιστές πρόσθεσαν μικρή αποσπάσματα από το έργο του Σαίξπηρ “Ο Έμπορος της Βενετίας”.
Ωστόσο, τα πράγματα δεν είναι καθόλου λογοτεχνικά στην περίπττωση του Xbot, καθώς ο συγγραφέας συμπεριέλαβε ένα μικρό σχόλιο: //(new StringBuilder (“[expletive]_U_AV” )).append(“1″).toString();”
“Μηνύματα όπως αυτό, δεν είναι κάτι καινούργιο σε malware, καθώς οι εταιρείες ασφάλειας, όπως η Avast μπορούν πραγματικά να κόψουν το εισόδημα από τους κακούς από αυτό το είδος του κακόβουλου λογισμικού”, δήλωσε ο Jan Sirmer του Avast σε ένα blog post την Τρίτη.
Οι ερευνητές διαπίστωσαν δείγματα του Xbot διάσπαρτα στην Ανατολική Ευρώπη. Αναφέρουν ότι ο δημιουργός του μπορεί να σχεδιάζει να προσθέσει μια νέα δυνατότητα που έχει σχεδιαστεί για να καταγράφει τις εισερχόμενες κλήσεις. Αυτή η λειτουργία υπάρχει, αλλά επί του παρόντος δεν είναι ενεργοποιημένη, γεγονός που υποδηλώνει ότι το project είναι ακόμα υπό ανάπτυξη.
