Los investigadores de seguridad informática de la firma Qihoo 360 han publicado un informe donde revelan la existencia de una nueva botnet que llamó la atención por su comportamiento ‘no malicioso’ en dispositivos Android, además de que se descubrió que se esconde tras un sistema de Blockchain.
En concreto, su nombre es Fbot, y según la publicación, se trata de una variante de la botnet Mirai que a pesar de conservar el módulo de ataque de denegación de servicio (DDoS) original, no lo utiliza. De hecho, esto es precisamente lo que les ha parecido más inusual a los investigadores, ya que se afirma que Fbot se encarga de busca dispositivos afectados con malware de minería y los ‘limpia’.
A fin de dar con esta conclusión, el informe revela que los expertos notaron que Fbot se encargaba de buscar un malware de botnet bajo el nombre de ‘com.ufo.miner’, que a su vez es una variante previamente conocida del malware de minería ADB.Miner, que extrae monero de smartphones y otros dispositivos con sistema operativo Android.
En este sentido, la función principal de Fbot parece ser la desinstalación del malware de minería antes descrito, y posteriormente descargar un archivo donde se dan instrucciones para ponerse en contacto con el servidor de comando y control, y finalmente la función se autodestruye. En concreto, la botnet se encarga de buscar todos los procesos inherentes a la minería de criptomonedas y los elimina.
Una de las características que más llamó la atención de los investigadores con respecto a esta botnet, es que el hacker que creo Fbot, eligió un servidor DNS descentralizado, que comparte los dominios mediante una red blockchain, lo que los hace más difíciles de eliminar o ubicar.
De hecho, la DNS utilizada por esta botnet es EmerDNS, basada en la blockchain de Emercoin, el proyecto de código abierto que admite el registro de nombres de dominio y los hace disponibles a través de su propio servidor.
