Tereza MalkusováV nedávné době se nám podařilo odhalit neoficiální doplňky populární multimediální platformy Kodi pro přehrávání audia a videa, které distribuovaly a instalovaly na zařízení běžící pod operačním systémem Windows a Linux software ke skryté těžbě kryptoměn.
Cílení této hrozby na operačními systémy Android nebo MacOS nebylo doposud pozorováno.
Platforma Kodi jako taková neposkytuje žádný obsah, jde o přehrávač, jehož funkčnost mohou rozšiřovat oficiální i neoficiální doplňky. Ty druhé, šířené přes neoficiální zdroje, někdy umožňují uživatelům přístup k pirátskému obsahu, což z Kodi činí kontroverzní téma.
Malware obsažený v doplňcích Kodi má vícestupňovou architekturu a provádí cílená opatření za účelem znesnadnění detekce a zametení stop, které by mohly poukazovat na vazbu mezi finálním stupněm infekce – instalací software typu cryptominer a škodlivým Kodi doplňkem. Jak v systému Windows, tak v Linuxu tento malware těží kryptoměnu Monero (XMR). Cílení této hrozby i na jiné operačními systémy jako Android nebo MacOS nebylo doposud pozorováno.
Tři způsoby napadení uživatelů:
- Uživatel si sám přidá URL napadeného úložiště do přehrávače Kodi při instalaci nějakého doplňku vytvořeného třetí stranou. Škodlivý doplněk se poté nainstaluje kdykoliv, kdy třetí strana aktualizuje své doplňky.
- Uživatel si nainstaluje do zařízení předpřipravenou sestavu Kodi a doplňků, která již obsahuje URL napadeného úložiště. Škodlivý doplněk se poté nainstaluje kdykoliv, kdy dojde k aktualizaci sestavy doplňků.
- Uživatel si nainstaluje do zařízení předpřipravenou sestavu Kodi a doplňků, která již obsahuje škodlivý doplněk i bez odkazu na napadené úložiště. Tito uživatelé jsou díky modifikovanému doplňku ohroženi hned od počátku. A i když nedojde k další aktualizaci doplňku, cryptominer je instalován a schopen přijímat další aktualizace sám.
Mezi pěticí zemí nejvíce zasaženou touto hrozbou jsou Spojené státy, Izrael, Řecko, Spojené království a Nizozemsko. Zároveň jde o země, kde přes přehrávač Kodi podle neoficiální statistiky Kodi Addon Community Stats proudí touto platformou nejvíce dat. Vysvětlením může být i fakt, že pro tyto země existují specifické lokalizované verze Kodi obsahující odkaz na některé z napadených úložišť nebo uživatelské komunity z těchto zemí hojně využívaly napadená úložiště doplňků.
Od doby, kdy jsme za ESET upozornili na tento problém, byla úložiště, z nichž se začal malware šířit, buď vypnuta (Bubbles) nebo vyčištěna od škodlivého kódu (Gaia). I přesto nadále existují uživatelé, kteří mají cryptominer nainstalovaný na svých zařízeních a zůstávají tak nevědomými oběťmi této škodlivé kampaně. Kromě toho je malware stále přítomen i v dalších úložištích a některých komunitních Kodi sestaveních, s největší pravděpodobností bez vědomí jejich tvůrců.
Lucie Mudráková
