Theo Palo Alto Networks , Xbot có vẻ như là thế hệ thứ hai của Trojan Aulrin Android lần đầu tiên phát hiện ra trong năm 2014 .

Aulrin được viết bằng Lua và .NET Framework nhưng lần này Xbot được viết dựa vào JavaScript qua Framework Rhino của Mozilla . Cho tới giờ những nhà nghiên cứu an ninh đã phát hiện ra 22 ứng dụng Android lây nhiễm Xbot , tất cả đều phát tán không qua Google Play .

Theo Palo Alto có vẻ như Xbot mới đang trong giai đoạn thử nghiệm nên không phát tán rộng rãi qua những kênh khác .

Trong phiên bản mới nhất Xbot có thành phần Trojan ngân hàng nhắn tới 7 ngân hàng trong đó 6 của Úc . Dựa trên tên miền phát tán mã độc những nhà nghiên cứu cho rằng Xbot có nguồn gốc ở Nga .

Xbot bên cạnh việc đánh cắp thông tin đăng nhập nó còn chú ý tới những thông tin thẻ tín dụng qua trang Phishing nhìn trông như trang thanh toán của Google Play . Tuy nhiên nó lại không làm việc trên những thiết bị dùng hệ điều hành Android 5.0 trở lên .

Cũng như hầu hết những mã độc hiện nay , Xbot sẽ trao đổi thông tin với máy chủ CnC để nhận thông tin đánh cắp được và có thể ra lệnh khóa hoặc mã hóa những file của người dùng .

Phần Ransomware cũng khá phức tạp và Xbot không chỉ nhắm tới lưu trữ trong mà còn khóa được cả thẻ nhớ SD ngoài . Tuy nhiên hiện tại thuật toán mã hóa vô cùng yếu nên hầu hết đều có thể giải mã với sự trợ giúp của chuyên gia mã hóa . Thuật toán mã hóa là phép tính XOR mỗi Byte trong tất cả những file bằng số nguyên cố định (50) .

Thành phần Ransomware làm việc rất hoàn hảo . Ứng dụng bị nhiễm độc Xbot sẽ cần quyền Admin khi cài đặt . Quyền này sẽ được dùng để khóa màn hình của người dùng , mã hóa file và cung cấp những khả năng Phishing của Trojan . Do đó người dùng không nên cung cấp quyền Admin khi cài đặt ứng dụng .

Palo Alto cho biết Xbot cũng thu thập dữ liệu khác như sổ điện  thoại , tin nhắn SMS …