Algunos repositorios no oficiales del reproductor de código abierto Kodi sirven un complemento modificado que lleva a la descarga de malware cryptomining en plataformas Windows y Linux.
Los investigadores de seguridad descubrieron una campaña que infecta máquinas que ejecutan Kodi a través de un complemento legítimo que ha sido alterado por ciberdelincuentes que buscan extraer la criptomoneda Monero con los recursos de los usuarios de Kodi.
La operación parece haber comenzado en diciembre de 2017 a través del complemento 'script.module.simplejson' alojado en el ahora difunto repositorio de Bubbles. Cuando Bubbles desapareció, el repositorio de Gaia comenzó a distribuir el add-on malicioso.
Los investigadores de seguridad de ESET detectaron la campaña en el repositorio de XvBMC, que se cerró recientemente por infracción de derechos de autor, pero es probable que otros repositorios ofrezcan el archivo alterado.
Como los complementos de Kodi están disponibles en varios repositorios, y la verificación de una actualización solo requiere el número de versión, las víctimas pueden agregar el complemento malicioso a su instalación de Kodi cuando actualicen los repositorios que alojan el archivo modificado.
Dicen que las rutinas de actualización de propietarios desprevenidos de otros repositorios conducen a propagar el complemento malicioso en todo el ecosistema de Kodi.
Por el momento, los cinco principales países afectados son los Estados Unidos, Israel, Grecia, el Reino Unido y los Países Bajos, que también es el país de origen de XvBMC. Estos países también son los que registran más tráfico para los complementos de Kodi.
'script.module.simplejson' es el nombre de un complemento Kodi legítimo, pero los ciberdelincuentes abusaron del sistema de actualización utilizado por Kodi y lanzaron la variante mal intencionada con un número de versión superior.
Por el momento, 'script.module.simplejson' está en la versión 3.4.0, mientras que los repositorios maliciosos sirven la versión 3.4.1. Como el repositorio tenía una versión más alta, los usuarios de Kodi automáticamente actualizarían automáticamente e instalarían la versión maliciosa.
El análisis de ESET muestra que el actor de amenazas modificó los metadatos del complemento original para indicarle a Kodi que descargue un complemento llamado 'script.module.python.requests' en la versión 2.16.0 o posterior.
El complemento recién descargado contiene el código de Python que canaliza y ejecuta el cryptominer. Una vez que el malware se instaló correctamente, se elimina la cadena de Python que lo trajo.
"El código está escrito claramente por alguien con un buen conocimiento de Kodi y su arquitectura complementaria. El script detecta en qué sistema operativo se está ejecutando (solo Windows y Linux son compatibles, Android y MacOS ignorados), se conecta a su servidor de C & C. y descarga y ejecuta un módulo de descarga binario apropiado para el sistema operativo ", señalan los investigadores .
La infección puede ocurrir siempre que los usuarios indiquen a Kodi que verifique una URL de repositorio comprometida para actualizaciones de complementos o cuando instalen una compilación preparada del reproductor de medios que ya contenga la URL o el complemento modificado.
Fecha actualización el 2021-09-13. Fecha publicación el 2018-09-13. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer