Скрытый ботнет Fbot, который уничтожает вредоносное программное обеспечение для майнинга, исследовали специалисты по кибербезопасности компании Qihoo 360Netlab. С какими целями он создан, пока неясно, пишет CoinDesk.
Fbot — вариация ботнета Satori, в основе которого лежит платформа Mirai. Её часто используют для DdoS-атак.
Но в Fbot модуль для атак деактивирован. Вместо этого в него встроена функция поиска устройств с установленным ПО для скрытого майнинга.
Fbot разработан для майнинга на устройствах под управлением Android. Он сканирует устройства и ищет вредоносную программу com.ufo.miner, являющуюся вариацией майнера Monero под названием ADB.Miner.
Ботнет отправляет программу через открытые порты и удаляет com.ufo.miner. Затем он продолжает сканировать сеть и распространяется по ней, устанавливается поверх вредоносного ПО, уничтожает его и самоуничтожается.
Эксперты обратили внимание, что вместо стандартной системы доменных имен (DNS) ботнет использует децентрализованную альтернативу EmerDNS. За счет этого адреса Fbot сложнее отследить и закрыть. Эксперты добавили:
Выбор Fbot в пользу EmerDNS вместо традиционной DNS довольно интересен. Это подняло планку для экспертов кибербезопасности, которым сложно отслеживать такой ботнет (системы безопасности не справляются, поскольку ищут лишь по традиционным DNS-именам).
Есть версия, что Fbot уничтожает конкурентов, чтобы затем запустить самую мощную сеть для скрытого майнинга. Но сейчас он приносит только пользу.