Condene as empresas de antivírus no código do Android Xbot Malware

Durante o processo de desenvolvimento, o criador do malware Xbot Android introduziu no código uma sequência agressiva que aborda produtos antivírus, provavelmente porque o software não passou pelo processo de detecção.

Código de malware do Android XbotO Xbot foi visto em mercados não oficiais para aplicativos Android que deveriam fornecer produtos populares, como o navegador Opera, Minecraft ou mesmo o Google Play.

Esse malware não é um aplicativo em si, pois o criador simplesmente adicionou código malicioso para incorporá-lo em produtos legais.

Pesquisadores da Avast monitoraram a atividade do Xbot e observaram que mais de 350 arquivos exclusivos foram distribuídos em mercados de terceiros desde o início de fevereiro.

Os dados de telemetria da empresa de segurança mostraram que foram realizadas mais de 2.570 instalações únicas de GUID (identificador global exclusivo).

Após a infecção, o malware executa uma rotina para garantir que permaneça no sistema e comece a funcionar após a reinicialização do dispositivo. Também exige um grande número de direitos desonestos, atualmente focados na gravação, leitura e gravação de mensagens curtas de texto.

As funções disponíveis incluem o rastreamento de mensagens de texto recebidas para determinadas palavras-chave e o upload para um servidor remoto de Comando e Controle (C&C).

Um recurso adicional é o envio de SMS do dispositivo infectado para os números selecionados. Isso é usado para enviar textos para números altos, como observado pelo Avast ao analisar várias amostras de malware.

Também é possível recuperar o conteúdo de um link fornecido pelo servidor C&C, que também pode enviar comandos para monitorar o dispositivo.

Não é incomum os criadores de malware importarem seqüências de texto que não têm nada a ver com o código de ameaça. No caso de Shylock, também conhecido como Caphaw, os desenvolvedores acrescentaram pequenos trechos de “O Mercador de Veneza”, de Shakespeare.

No entanto, as coisas não são literárias no caso do Xbot, pois o autor incluiu um pequeno comentário: // (new StringBuilder (“[expletive]_U_AV “). “, disse Jan Sirmer, da Avast, em um post do blog na terça-feira.

Pesquisadores descobriram amostras de Xbot espalhadas por toda a Europa Oriental. Eles dizem que o criador pode estar planejando adicionar um novo recurso projetado para gravar as chamadas recebidas. Esse recurso existe, mas não está ativado no momento, indicando que o projeto ainda está em desenvolvimento.