Más sobre Yxe

¿Qué más hemos descubierto sobre Yxe.e, el programa malicioso que detectamos ayer? Se propaga vía MMS y agrega la imagen de un cráneo y dos huesos cruzados como archivo adjunto, en lugar de incluirla en el cuerpo del mensaje. El texto incluye un enlace, http://tran******.com, y sugiere al destinatario que allí encontrará información privada sobre la actriz china Zhang Zii.

Cuando la víctima pulsa en el enlace desde su smartphone, se pide que se descargue e instale un archivo llamado LanPackage.sisx que pesa 57573 bytes. Pero si se pulsa en el enlace desde el buscador de un ordenador sólo se muestra un estado 404:

En otras palabras, el servidor revisa si la solicitud para conectarse al sitio proviene desde un buscador de un dispositivo móvil.

Cuando se ejecuta LanPackage.sisx, se muestra este mensaje:

Y este es el certificado:

Si el usuario consiente, se descargan los siguientes archivos al dispositivo:

• C:sysbinInstaller_SV.exe
• C:sysbinLanPackage.exe – the worm executable
• C:private101f875aimport[20028B98].rsc

Al instalarlo, el gusano comienza a recolectar datos sobre el smartphone y subir la información al servidor cibercriminal, envía mensajes SMS con un enlace a sí mismo a todos los contactos de su víctima, intenta cerrar AppMngr, TaskSpy, Y-Tasks, ActiveFile, TaskMan y bloquea el acceso a Software Manager para evitar que lo eliminen. También trata de conectarse al sitio de una red social china, “Happy Net”, y descarga un archivo más, pero cuando escribí este blog el archivo no estaba disponible.

Parece que Worm.SymbOS.Yxe ya está a la par con programas maliciosos como Cabir y Comwar. Cabir fue el primer gusano de Bluetooth y el primer programa nocivo para plataformas móviles; Comwar fue el primer programa malicioso en propagarse via MMS; Yxe es el primer programa malicioso con un certificado válido. Varias variantes de Cabir y Comwar se lanzan en intervalos durante años. Worm.SymbOX.Yxe tiene más de un año, y ya se nota que sus creadores no piensan frenar su evolución ni su difusión.