Обнаружен ботнет Fbot, удаляющий на зараженных устройствах другую малварь

Специалисты Netlab 360 рассказали о новом ботнете Fbot, который использует EmerDNS вместо DNS и удаляет на зараженном устройстве малварь com.ufo.miner — вариацию ADB.Miner для взлома через открытые порты Android Debug Bridge (ADB).

Принцип действия

Fbot работает на базе исходных кодов вредоносной программы Satori, которая в свою очередь является версией IoT-малвари Mirai. Он ищет открытые порты TCP 5555 и выполняет один из двух сценариев: hxxp: //188.209.52.142/c или hxxp: //188.209.52.142/w через интерфейс ADB. Они загружают на устройство вредоносные модули и поддерживают связь с управляющим сервером. Fbot удаляет из устройства com.ufo.miner и останавливает такие процессы, как:

			/data/local/tmp/smi
/data/local/tmp/xig
/data/local/tmp/trinity
/data/local/tmp/z
/data/local/tmp/log
/data/local/tmp/rig
/data/local/tmp/.f
/data/local/tmp/tyg
		

Затем он устраняет следы своего присутствия. Ботнет использует DDoS-модуль от Mirai, при этом специалисты не обнаружили ни одной DDoS-атаки с его стороны.

EmerDNS

Управляющий сервер Fbot находится на домене второго уровня .lib, который не зарегистрирован ICANN. Ботнет использует децентрализованную блокчейн-систему доменных имен EmerDNS.

Получить доступ к веб-сайту .lib можно несколькими способами:

• через систему альтернативных DNS-серверов OpenNIC;
• с помощью расширения в браузере;
• с помощью самостоятельной настройки узла Emer.

Satori

В декабре 2017 года специалисты обнаружили вредоносную программу Satori, насчитывающую 280 000 активных ботов. Она использует два эксплойта, которые подключаются к удаленным устройствам через порты 37215 и 52869.