Um novo tipo de malware Android rouba credenciais de bancos online e pode armazenar arquivos refém de um dispositivo em troca de um resgate, entregando uma entrada mais dura, um e dois socos.
O malware, chamado Xbot, não é generalizada e ainda parece estar apenas a segmentação dispositivos na Austrália e Rússia, escreveu pesquisadores com Palo Alto Networks, em um post no blog na quinta-feira.

Mas eles acreditam que quem está por trás Xbot pode tentar expandir sua base alvo.

"Como o autor parece estar colocando muito tempo e esforço em fazer este Trojan mais complexo e mais difícil de detectar, é provável que a sua capacidade de infectar utilizadores e permanecem ocultos só vai crescer", Palo Alto escreveu.Xbot usa uma técnica chamada sequestro atividade para realizar ataques que visam roubar banco on-line e detalhes pessoais. 

É, essencialmente, permite que o malware para lançar uma ação diferente quando alguém tenta iniciar uma aplicação. Utilizador não sabem que eles estão realmente usando o programa ou função errada.
Atividade seqüestro tirar proveito dos recursos em versões Android anteriores a 5.0.Google desde então tem desenvolvido defesas contra ele, então apenas dispositivos mais velhos ou aqueles que não foram atualizados seriam afetados.
um um tipo de ataque, Xbot monitora o aplicativo o usuário lançou. Se ele é um aplicativo online banking particular, Xbot intervém e exibe uma interface que obscurece o aplicativo real.

A interface falsa é realmente baixado de um servidor de comando e controle e exibido usando WebView , Palo Alto escreveu. Os aplicativos legítimos na verdade não são adulterados.

"Até agora nós encontramos sete interfaces de diferentes falsificadas", escreveu Palo Alto. "Identificamos seis deles - eles estão imitando aplicativos para alguns dos bancos mais populares na Austrália. As interfaces são muito semelhantes às interfaces de login desses bancos "apps oficiais". Se a vítima preenche o formulário, o número de conta bancária, a senha e tokens de segurança será enviado ", para o servidor-comando e controle.

Xbot também pode trazer uma interface através WebView dizendo que o dispositivo tenha sido infectado com CryptoLocker, um programa de ransomware bem conhecido.Ransomware criptografa arquivos e, em seguida, pede o pagamento para a chave de decodificação. Neste caso, os atacantes pedir US $ 100 a ser pago através de um site PayPal falsificado.

Xbot vai realmente criptografar arquivos no armazenamento externo do dispositivo. No entanto, o algoritmo de criptografia usado é fraco, e seria possível recuperar os arquivos, Palo Alto escreveu.
Xbot também pode raspar o telefone para dados pessoais, tais como contactos, SMSes e números de telefone e enviar os dados para os atacantes.

Para uma cobertura abrangente do ecossistema Android, visite Greenbot.com .