Botnetze haben allgemein einen eher schlechten Ruf. Kein Wunder, werden sie doch üblicherweise verwendet, um DDoS-Angriffe auszuführen oder Malware zu verbreiten. Nicht so allerdings "FBot", wie das Sicherheitsunternehmen 360 Netlab berichtet. Dieses Netzwerk macht Jagd auf einen Kryptominer.

Botnet als Malware-Entfernungstool

Im Kern operiert FBot dabei, wie andere Botnetze auch. Über manipulierte Webseiten wird Zielgeräten, auf denen Android läuft, über ein Skript ein Trojaner untergejuibelt. Einmal aktiviert, sucht dieser gezielt nach dem Kryptominer "com.ufo.miner", einer Malware, die ohne Wissen des Users Rechenressourcen verbraucht, um die Kryptowährung Monero zu erzeugen. Es handelt sich um eine Variante des "ADB Miner", der in der Vergangenheit auch schon Geräte wie Amazons FireTV befallen konnte.

Wird er fündig, so entfernt diesen Kryptominer. Anschließend löscht sich der Trojaner selbst. Faktisch agiert das Botnetz also wie ein Entfernungstool für eine spezifische Malware. Spannend ist, dass er die Kommunikation mit den Kommandoserver über ein Blockchain-basiertes DNS-System läuft.

Warnung

Jedenfalls muss vor FBot gewarnt werden. Auch wenn das Botnet bislang gutartig agiert, gibt es keine Garantie dafür, dass dies so bleibt. Niemand hindert die Betreiber daran, künftig einen Abhör-Trojaner oder Ransomware zu laden.

Die Forscher sind der Ansicht, dass FBot wohl eng verwandt mit dem bekannten Satori-Botnet ist. Angaben darüber, wie weit verbreitet die Gefahr ist oder unter welchen Voraussetzungen (Android-Version, Einstellungen) eine Infektion möglich ist, liefern sie nicht. (red, 20.09.2018)