Эксперты ESET предупреждают, что пользователи популярного опенсорсного медиаплеера Kodi стали целью вредоносной кампании. По данным специалистов, как минимум три репозитория с плагинами заражены и распространяют среди пользователей майнинговую малварь.
Kodi, по сути, представляет собой лишь «основу» медиаплеера, предполагающую подключение различных аддонов. Такие плагины существуют практически для всего, будто то YouTube, Hulu, пиратский стриминг платных каналов или фильмов с торрент-порталов. Для подключения всего этого многообразия, достаточно установить Kodi, а затем прописать в настройках URL одного или более репозитория с аддонами, откуда и будут установлены выбранные.
Вредоносная операция, судя по всему, началась еще в декабре 2017 года, и первым был скомпрометирован аддон script.module.simplejson (верия 2.16.0 и выше) из уже неработающего репозитория Bubbles. Однако когда Bubbles закрылся, распространять малварь начали через репозитории Gaia и XvBMC (недавно тоже были закрыт из-за нарушений авторских прав). Однако одни и те же аддоны для Kodi, как правило, доступны в разных репозиториях, и, скорее всего, вредоносные файлы по-прежнему существуют в других источниках.
Аналитики ESET пишут, что обнаруженная ими малварь провоцировала загрузку дополнительного плагина для Kodi, который определял, с какой ОС имеет дело, а затем скачивал и устанавливал подходящий майнер для криптовалюты Monero. Хотя Kodi доступен для множества платформ, операторы данной кампании ограничивались компрометацией пользователей Windows и Linux.
Исследователи предполагают, что за прошедшее время преступники заразили около 4700 человек (определить точное количество пострадавших сложно) и добыли таким образом 62 Monero, то есть около 7000 долларов США по текущему курсу. Большинство пострадавших находится в США, Великобритании, Греции, Израиле и Голландии, то есть в тех странах, где Kodi пользуется большой популярностью.
Определить, пострадала ли машина, использовавшая вышеупомянутые репозитории, можно установив на нее антивирусное ПО, а также обратив внимание на загрузку CPU, ведь майнинговая малварь зачастую оттягивает на себя изрядную часть мощностей системы.
Нужно заметить, что это не первый случай, когда пользователи Kodi становятся жертвами злоумышленников. В 2017 году неизвестные заражали плагины для медиаплеера ботом для проведения DDoS-атак.