Новый ботнет Fbot удаляет криптомайнеры с зараженных устройств

Эксперты компании Qihoo 360Netlab обратили внимание на довольно необычный ботнет, появившийся в интернете. Ботсеть создана на основе варианта вредоносного ПО Mirai под названием Fbot. Удивление специалистов вызвал тот факт, что несмотря на наличие оригинального DDoS-модуля, активность ботнета пока далека от вредоносной — Fbot ищет зараженные программами для добычи криптовалюты устройства и удаляет их. В частности, речь идет о com.ufo.miner — известном варианте ADB.Miner, предназначенном для майнинга Monero на Android-устройствах.

Fbot сканирует сеть на предмет устройств с открытым портом 5555, используемым службой ADB (Android Debug Bridge, отладочный мост), а затем загружает скрипт через интерфейс ADB. Одна из функций скрипта заключается в удалении com.ufo.miner, а вторая — в загрузке основного модуля Fbot, в который вшиты данные для коммуникации с C&C-сервером. Третья функция отвечает за самоуничтожение.

Еще одна особенность ботнета заключается в использовании альтернативной децентрализированной системы доменных имен Emer DNS, затрудняющей отслеживание доменов. По словам экспертов, управляющий сервер использует домен в зоне .lib (musl.lib), которая не зарегистрирована ICANN.

В настоящее время неясно, с какой целью операторы ботнета удаляют криптомайнеры и вместо них загружают ПО Fbot. Вполне возможно, таким образом они намереваются избавиться от конкурентов.