Специалисты из  компании Qihoo 360 отловили необычный бот. Он проникает на устройства, уже зараженные криптомайнером ADB.Miner, удаляет приложение и связанные с ним процессы. Оператор ботнета скрывает командный сервер в домене, поддерживаемом альтернативной системой DNS. Цели атаки пока не ясны.

Бот, получивший название Fbot, сканирует адресное пространство в поиске устройств, использующих отладочный интерфейс  Android Debug Bridge (ADB) с открытым портом 5555, после чего проникает на них. Среди его целей — смартфоны, игровые приставки, умные телевизоры и другие устройства Интернета вещей.

Атака состоит из двух этапов. Сначала Fbot ищет и удаляет с зараженного устройства программу com.ufo.miner — один из вариантов зловреда ADB.Miner, нацеленного на генерацию Monero. Попутно из памяти выгружаются все процессы, связанные с добычей криптовалюты. Далее бот внедряет в систему свою полезную нагрузку, содержащую инструкции для связи с командным сервером.

Оператор Fbot разместил центр управления в распределенном DNS-пространстве, которое работает на технологии блокчейна. Домен командного сервера находится в зоне .lib, которая не зарегистрирована в ICANN и не обнаруживается через традиционную систему адресации в Интернете. Такой ресурс не контролируется обычными регистраторами доменных имен, не может быть досрочно снят с делегирования по жалобе государственных органов или решению суда и не выявляется большинством систем безопасности.

Код приложения основан на одном из вариантов движка Mirai, в котором сохранен, но не используется оригинальный DDoS-компонент. Исследователи затрудняются назвать истинные цели атаки. Возможно, это деятельность этичных хакеров по борьбе с вредоносными криптомайнерами..Однако не исключено, что нападающие просто расчищают пространство для следующей стадии кампании.

ADB.Miner, с которым борется Fbot, также использует наработки Mirai. Червь появился на радарах ИБ-специалистов в феврале этого года и за короткий срок заразил несколько тысяч устройств. Зловред нацелен на IoT-оборудование, расположенное в Китае и Южной Корее, — под удар попали преимущественно Smart TV, телевизионные приставки и небольшое количество смартфонов на Android.

Категории: Вредоносные программы