Normalmente la aparición de una nueva botnet rara vez conlleva implicaciones positivas. Hay excepciones, no obstante. Así como estos enjambres de dispositivos son utilizados comúnmente para lanzar ataques informáticas masivos con pocos recursos, hay constancia de casos extraordinarios como Hajime, que infecta dispositivos IoT inseguros para evitar su secuestro. Ahora se suma un nuevo ejemplo: Fbot, una red que lucha contra el malware de criptominado. O eso es lo que aparenta.
El descubrimiento de Fbot ha sido anunciado por investigadores de 360Netlab (Qihoo), que la describen como un derivado de Satori, a su vez basado en Mirai. Esta última botnet llegó a ocupar los informativos después de que un misterioso ataque cortara el acceso a algunas de las páginas y los servicios más utilizados del mundo. A diferencia de Mirai, Fbot es superficialmente benigna, y de hecho exhibe un funcionamiento sumamente extraño.
De acuerdo con las pesquisas de 360Netlab, Fbot infecta aparatos basados en Android como pudieran ser tabletas y smartphones, pero también dispositivos de streaming (que ocasionalmente son auténticos festivales de malware y vulnerabilidades) y otros integrantes del Internet de las cosas. Su propósito es encontrar y eliminar com.ufo.miner, una botnet derivada del minero ADB.Miner.
Esencialmente Fbot realiza un escaneo para comprobar si el puerto TCP 5555 está abierto. Si ese es el caso, lanza un ataque para eliminar los scripts de minado de ADB, cerrar los procesos y dejar el sistema totalmente limpio. Es además una botnet de lo más arreglada, puesto que una vez finalizado su ataque se borra a sí misma. Igualmente intrigante es el hecho de que la botnet se controla mediante protocolos DNS blockchain (EmerDNS), lo que dificulta su rastro.
En un principio los efectos de Fbot parecen ser benignos. Al menos en apariencia. El hecho es que nadie ha reclamado su autoría y no hay forma de conocer si tiene algún propósito ulterior, por lo que no se puede descartar que sea una herramienta creada por un grupo de mineros con el propósito de eliminar a la competencia. Asimismo, Fbot no deja de ser un software instalado sin permiso del usuario, con todo lo que ello supone.
