По данным ЛК, вредоносная программа оснащена сложным механизмом обхода антивируса. Эксперт «Лаборатории Касперского» Курт Баумгартнер сообщил об обнаружении бекдора для устройств на базе Android, который получил название Backdoor.AndroidOS.Cawitt.a. Как отмечает Баумгартнер, вирус оснащен рядом новых функций, появление которых привлекло к нему внимание специалистов. Вредоносной программе, помимо остального, присуща обфускация кода и резидентный запуск при старте системы. В бэкдоре каждый класс и метод названы мужскими именами, многие из которых повторяются, что, по мнению эксперта, усложняет анализ программы. Такое решение может быть предназначено для того, чтобы вирус имел возможность обходить сканирование антивирусом, увеличивая период проверки.
По словам Баумгартнера, бэкдор использует социальную сеть Twitter для получения команд с сервера злоумышленников. «В своем теле он хранит наборы строк, из которых он побуквенно, замысловатым алгоритмом формирует псевдонимы. Получившиеся после расшифровки имена Twitter-профилей бот складывает со строкой «http://mobile.twitter.com/» и делает http-запрос к получившемуся URL. В твиттах хранятся домены контрольных центров бота. И их очень легко менять на лету. На основе полученных из Твиттера доменов бот формирует новый URL. Для того чтобы получить команду хозяина, бот делает POST-запрос к домену, полученному из Твиттера, складывая доменное имя со строкой /carbontetraiodide», – отмечает эксперт.
После этого программа получает команды на выполнение различных функций на инфицированном устройстве, а также может отправлять отчеты о своей деятельности.
Баумгартнер предупредил, что проведенные исследования Backdoor.AndroidOS.Cawitt.a. показали его способность отправлять SMS-сообщения без ведома жертвы. Это был единственный механизм, который удалось расшифровать, однако далеко не единственная возможность вируса.