Ботнет называется Fbot, это своеобразная вариация так называемого Satori, который в свою очередь основывается на программе Mirai для DDoS-атак. Однако в случае с Fbot модуль для DDoS-атак деактивирован и заменён функцией поиска устройств с установленным ПО для скрытого майнинга.
По словам специалистов Qihoo 360Netlab, Fbot ищет вредоносную программу com.ufo.miner. Это вариация майнера Monero под названием ADB.Miner. В основном этот майнер используется на Android.
Программа распространяется через открытые порты, а затем удаляет com.ufo.miner, если находит его.
Принцип работы Fbot достаточно прост. Он сканирует сеть, распространяется по ней, устанавливается поверх вредоносного ПО, а затем самоуничтожаться.
Стоит отметить тот факт, что ботнет вместо стандартной системы доменных имён (DNS) использует децентрализованную альтернативу EmerDNS. Из-за этого адреса сложнее отследить и закрыть.
«Выбор Fbot в пользу EmerDNS вместо традиционной DNS довольно интересен. Это подняло планку для экспертов кибербезопасности, которым сложно отслеживать такой ботнет (системы безопасности не справляются, поскольку ищут лишь по традиционным DNS-именам)», — отмечают исследователи.
Возможно, Fbot создан с добрыми намерениями. Однако есть и вероятность, что эта программа разработана для устранения конкурентов на рынке.
