Os criminosos estão a abusar do Kodi Media Player para distribuir malware. Especialistas da ESET identificaram recentemente uma campanha de crypto-mining que comprometeu cerca de 5.000 computadores.
Os utilizadores do Kodi podem adicionar novas funcionalidades instalando novos add-ons que estão disponíveis no repositório oficial da Kodi e em várias lojas third-party.
Um atacante pode distribuir um código mal-intencionado comprometendo os add-ons que são atualizados automaticamente pelo Kodi media player.
De acordo com os especialistas da ESET, os invasores podem direcionar o Kodi para disseminar malware através de três diferentes mecanismos:
- They add the URL of a malicious repository to their Kodi installation so as to download some add-ons. The malicious add-on is then installed whenever they update their Kodi add-ons.
- They install a ready-made Kodi build that includes the URL of a malicious repository. The malicious add-on is then installed whenever they update their Kodi add-ons.
- They install a ready-made Kodi build that contains a malicious add-on but no link to a repository for updates. They are initially compromised, though receive no further updates to the malicious add-on. However, if the cryptominer is installed, it will persist and receive updates.
O código malicioso distribuído nesta campanha é capaz de comprometer as plataformas Windows e Linux. É um malware que implementa medidas para dificultar que os analistas identifiquei o add-on via o código mal intencionado.
Os atacantes adicionaram o addon malicioso aos repositórios XvMBC, Bubbles e Gaia.
A maioria das infeções foi observada nos Estados Unidos, Israel, Grécia, Reino Unido e Holanda.
“After victims add the malicious repository to their Kodi installation, the malicious repository serves an add-on named script.module.simplejson – a name matching that of a legitimate add-on used by many other add-ons. However, while other repositories only have the script.module.simplejson add-on at version 3.4.0, the malicious repository serves this add-on with version number 3.4.1.” continues the repository.
“Since Kodi relies on version numbers for update detection, all users with the Auto Update feature enabled (which is a common default setting) will automatically receive script.module.simplejson version 3.4.1 from the malicious repository.”
Embora os principais repositórios usados nesta campanha estejam fechados e limpos, muitos dispositivos ainda estão a executar addons maliciosos com minners do Monero.
Especialistas da ESET revelaram que os criminosos por trás da campanha já exploraram cerca de US $6.700 equivalente da criptomoeda Monero.
“According to these statistics of the malware authors’ Monero wallet, provided by Nanopool, a minimum of 4774 victims are affected by the malware at the time of writing, and have generated 62,57 XMR (about 5700 EUR or 6700 USD) as of this writing.” concludes the report.
Mais detalhes, incluindo os IoCs, estão disponíveis no relatório.