Add-ons Kodi utilizzati per Cryptomining. Fate attenzione

Uno studio condotto da ESET ha fatto emergere una realtà molto preoccupante. Alcuni Add-ons di Kodi utilizzati per generare Criptovalute

Add-on Kodi utilizzati per Cryptomining. Fate attenzione

Gli utenti di Kodi potrebbero aver notato che XvBMC, una repository olandese per add-on di terze parti del famoso media center open source, è stata recentemente disattivata in seguito agli avvisi di violazione del copyright. Dopo lo shutdown, i ricercatori di ESET hanno scoperto che la repository era – probabilmente inconsapevolmente – parte di una campagna di cryptomining dannosa che risale al dicembre 2017.

Per chi non conoscesse Kodi, si tratta di un popolare software di riproduzione multimediale che offre all’utente la possibilità di vedere i canali televisivi del digitale terrestre o satellitari su Smart TV, smartphone, tablet o qualsiasi altro dispositivo di ultima generazione. La cosa più interessante di Kodi però riguarda gli add-on: gli utenti possono infatti estendere le funzionalità del software installando vari componenti aggiuntivi, presenti sia nella repository ufficiale di Kodi che in numerose repository di terze parti. Il che espone la piattaforma a rischi di violazione e compromissione della sicurezza. 

La campagna di cryptomining veicolata tramite Kodi

Secondo i dati dei ricercatori di ESET, il malware trovato nel repository XvMBC è stato immesso per la prima volta sulle popolari repository aggiuntive di terze parti Bubbles e Gaiarispettivamente nel dicembre 2017 e nel gennaio 2018.

Da queste due fonti e attraverso routine di aggiornamento di proprietari ignari di altre repository, il malware si è diffuso ulteriormente nell’ecosistema Kodi.  È il secondo caso pubblicamente noto di malware distribuito su larga scala tramite i componenti aggiuntivi di Kodi, il primo che ha ad oggetto una campagna di cryptomining.

Il malware ha un’architettura multi – stage e adotta alcuni stratagemmi per garantire che la sua payload finale – il cryptominer – non possa essere facilmente ricondotto al componente aggiuntivo dannoso. Il cryptominer estrae la criptovaluta Monero punta ai sistemi operativi Windows e Linux, mentre i ricercatori di ESET non hanno riscontrato finora in the wildalcuna versione del malware che ha come target dispositivi Android o macOS.

I primi cinque paesi colpiti da questa minaccia, secondo la telemetria di ESET, sono gli Stati Uniti, Israele, Grecia, Regno Unito e Paesi Bassi, il che non sorprende dal momento che tutte queste nazioni si trovano nell’elenco dei “top traffic countries” nelle recenti statistiche non ufficiali di Kodi Addon Community. In questa classifica l’Italia è in decima posizione a livello mondiale, a conferma della crescente popolarità di Kodi anche a livello nazionale.

Al momento, le repository da cui il malware ha iniziato a diffondersi sono state chiuse (Bubbles) o non veicolano più il codice dannoso (Gaia); tuttavia, le vittime inconsapevoli che hanno installato il cryptominer sui propri dispositivi sono probabilmente ancora interessate. Inoltre, il malware è ancora presente in altre repository e in alcune Build Kodi già pronte, molto probabilmente senza che i loro autori ne siano a conoscenza.