I ricercatori di Eset hanno scoperto che gli add-on di Kodi Media Player sono serviti a diffondere il malware per il cryptomining su piattaforme Linux e Windows. Kodi è un popolare software di riproduzione multimediale che offre all’utente la possibilità di vedere i canali televisivi del digitale terrestre o satellitari su Smart Tv, smartphone, tablet o qualsiasi altro dispositivo di ultima generazione. La cosa più interessante di Kodi però riguarda gli add-on. Gli utenti infatti possono estendere le funzionalità del software installando componenti aggiuntivi, presenti sia nella repository ufficiale di Kodi che in numerose repository di terze parti. Il che espone la piattaforma a rischi di violazione e compromissione della sicurezza.
Dopo lo shutdown, infatti, i ricercatori hanno scoperto che la repository olandese per add-on di terze parti del famoso media center open source, XvBMC, era – probabilmente in modo inconsapevole – parte di una campagna di cryptomining dannosa che risale al dicembre dello scorso anno. Secondo l’indagine svolta da Eset, il malware trovato nel repository XvMBC è stato immesso per la prima volta sulle popolari repository aggiuntive di terze parti Bubbles e Gaia rispettivamente nel dicembre 2017 e nel gennaio 2018.
Da queste due fonti e attraverso routine di aggiornamento di proprietari ignari di altre repository, il malware si è diffuso ulteriormente nell’ecosistema Kodi. Si tratta del secondo caso reso pubblico di malware distribuito su larga scala tramite i componenti aggiuntivi di Kodi, il primo che ha per oggetto una campagna di cryptomining. Il malware ha un’architettura multi-stage e adotta alcuni stratagemmi per garantire che la sua payload finale – il cryptominer – non possa essere facilmente ricondotto al componente aggiuntivo dannoso. Il cryptominer estrae la criptovaluta Monero e punta ai sistemi operativi Windows e Linux, mentre i ricercatori Eset non hanno riscontrato finora in the wild alcuna versione del malware che ha come target dispositivi Android o macOS.
Secondo la telemetria di Eset, i primi cinque Paesi sono gli Stati Uniti, Israele, Grecia, Regno Unito e Paesi Bassi, tutte nazioni che si trovano nell’elenco dei “top traffic countries” nelle recenti statistiche non ufficiali di Kodi Addon Community. In questa classifica l’Italia è in decima posizione a livello mondiale, a conferma della crescente popolarità di Kodi anche a livello nazionale. Al momento, le repository, dalle quali il malware ha iniziato a diffondersi sono state chiuse (è il caso di Bubbles) o non veicolano più il codice dannoso (come Gaia).
Tuttavia, le vittime inconsapevoli che hanno installato il cryptominer sui propri dispositivi sono probabilmente ancora interessate. Inoltre, il malware è ancora presente in altre repository e in alcune Build Kodi già pronte, molto probabilmente senza che i loro autori ne siano a conoscenza. In questo caso gli utenti di Kodi su dispositivi Windows o Linux che hanno installato componenti aggiuntivi da repository di terze parti o una Build Kodi già pronta, potrebbero essere stati bersagliati da questa campagna di cryptomining.
