Investigadores de la firma de seguridad informática Netlab 360 descubrieron un nuevo botnet cuya misión parece ser “limpiar” los dispositivos Android de un malware de minería de criptomonedas específico. El nuevo virus “no malicioso” fue nombrado Fbot.
En un informe publicado en su página web, Netlab 360 señaló que Fbot es una variante del virus Mirai y está relacionado con la cadena de bloques de Emercoin. Lo que ha llamado poderosamente la atención de los investigadores es que, hasta el momento, su objetivo es buscar y eliminar otro botnet: com.ufo.miner. Esta es una variante del cryptojacker ADB.miner, que se instala en los dispositivos para minar monero (XMR) sin consentimiento de los usuarios.
Entre las particularidades de este botnet, se encontró que posee la misma codificación del botnet Satori, que se dio a conocer en enero de este año. Este, a su vez, es una variante del agresivo virus Mirari, que vulneró numerosos servicios en línea en Estados Unidos.
Los botnets generalmente esclavizan dispositivos vulnerables, como teléfonos móviles, equipos que cuentan con funcionalidades de Internet de las cosas (IoT) y enrutadores, con la finalidad de armar redes de dispositivos que estén a su merced. Los piratas informáticos los usan para diferentes fines entre los que se cuenta la minería oculta de criptomonedas y los ataques de denegación de servicio (DDoS).
En el caso de Fbot, los investigadores descubrieron que pose los módulos DDoS heredados de Mirai. Sin embargo, no se registró ningún ataque DDoS por parte de este botnet.
Por otra parte, los creadores de Fbot eligieron un servidor DNS descentralizado que comparte sus dominios a través de un protocolo en blockchain, como parte del mecanismo de comunicación del botnet. De esta manera se aseguraron de dificultar su detección y eliminación. En este sentido, usaron EmerDNS, basado en la blockchain de Emercoin, un proyecto de código abierto dirigido al sector comercial que ofrece registros de dominio DNS descentralizado.
La carga útil de Fbot rastrea y desinstala las secuencias de comandos de minería de criptomonedas de ADB (Android Debug Bridge) para limpiar el sistema. Terminado este proceso, el botnet se elimina a sí mismo.
La firma determinó que el virus Fbot tiene un fuerte vínculo con Satori, el cual fue usado para vulnerar equipos mineros a principios de este año. Aún no queda claro si el propósito de este malware, aparentemente beneficioso, es simplemente “limpiar” los dispositivos o si se trata de piratas informáticos tratando de eliminar la competencia.
Informes de varios laboratorios de seguridad cibernética a lo largo de 2018 han concluido que los ataques con malware minero se han incrementado significativamente. Incluso, esta práctica parece estar desplazando al ransomware como técnica preferida por los delincuentes informáticos.
Imagen destacada por: beebright / stock.adobe.com