Onderzoekers hebben een soort van "behulpzame" malware ontdekt die op internet routers en Internet of Things-apparaten infecteert, om vervolgens de apparaten te beveiligen en eventueel aanwezige malware te verwijderen. De malware wordt door beveiligingsbedrijf Symantec Wifatch genoemd en werd vorig jaar al door een andere onderzoeker ontdekt, die het de naam ifwatch gaf.

De malware verspreidt zich waarschijnlijk via Telnet en maakt gebruik van zwakke wachtwoorden. Eenmaal actief worden de routers en andere apparaten onderdeel van een peer-to-peer-netwerk dat dreigingsinformatie uitwisselt. Verder schakelt Wifatch de Telnet-daemon uit, zodat andere aanvallers geen toegang kunnen krijgen. Ook laat de malware een bericht voor de eigenaar achter om het wachtwoord te wijzigen, Telnet uit te schakelen en de firmware te updaten. Ook heeft Wifatch een module om malware-infecties op het apparaat te verwijderen.

Ondanks de acties die Wifatch uitvoert bestempelt Symantec het programma toch als malware, mede omdat het een aantal algemene backdoors bevat waarmee de maker toegang kan krijgen. De backdoors vereisen wel een digitale handtekening, zodat anderen er geen gebruik van kunnen maken. Volgens Symantec zijn mogelijk tienduizenden apparaten met de malware geïnfecteerd, waarvan de meeste in China en Brazilië. Eigenaren van een besmette router die Wifatch willen verwijderen kunnen dit eenvoudig doen door het toestel te resetten.