Esta muestra de malware para Android no se limita a pedir rescate por los archivos cifrados cuando también puede robar información personal, contraseñas, credenciales bancarias y detalles de tarjetas de crédito para después venderlos o usarlos para obtener aún más dinero.

Investigadores de Palo Alto analizaron recientemente Xbot, un troyano que es capaz de hacer todas las cosas mencionadas anteriormente; encontraron que imitaba a 22 aplicaciones distintas.

Xbot es una amenaza que, se cree, evolucionó del viejo troyano para Android Aulrin, ambos tienen estructuras de código y comportamientos similares, además de compartir algunos archivos. Los investigadores creen que los dos troyanos comparten al mismo autor.

Aún no saben cómo se propaga Xbot, pero una vez que está en el celular de un objetivo, contacta a su servidor C&C para obtener instrucciones.

"Cuando recibe ciertos comandos, lanza ataques de phishing a los usuarios de Google Play y de algunas aplicaciones bancarias australianas. Se observaron tres enfoques distintos de phishing y un uso de secuestro de actividad", compartieron los investigadores.

El troyano va detrás de detalles de tarjetas de crédito, la dirección de facturación y el número telefónico del objetivo, credenciales de banca en línea, números de cuentas bancarias, contraseñas y tokens de seguridad. Una vez que la información se ingresa en las páginas phishing y en las interfaces de aplicaciones bancarias falsas, es enviada al servidor C&C.

El mismo destino le espera a los contactos y mensajes de texto recibidos de la víctima, se filtran al servidor C&C.

Finalmente, si la víctima brindó a Xbot permisos como administrador del dispositivo después de su instalación inicial, y recibe la orden correcta del servidor C&C, cambiará el celular a modo silencioso, restablecerá las contraseñas y mostrará una nota de rescate (página web vía WebView) configurada para que no pueda ser fácilmente removida de la pantalla.

El malware cifra archivos, pero lo hace con una sencilla operación XOR con cada byte de los archivos y el número entero fijo 50. Eso significa que las declaraciones del malware, de que los archivos no pueden ser descifrados sin pagar el rescate y recibir la llave de descifrado, no son ciertas.

"Aunque los usuarios de Android con la versión 5.0 o alguna más actua hasta ahora están protegidos de una parte del comportamiento malicioso de Xbot, todos los usuarios son vulnerables al menos a algunas de sus capacidades. Dado que el autor parece invertir una cantidad considerable de tiempo y esfuerzo en hacer este troyano más complejo y difícil de detectar, es probable que aumente su habilidad para infectar usuarios, para permanecer escondido y para que el atacante expanda su base de objetivos a otras regiones alrededor del mundo", concluyeron los investigadores.