Gli utenti di Kodi potrebbero aver notato che XvBMC, una repository olandese per add-on di terze parti del famoso media center open source, è stata recentemente disattivata in seguito agli avvisi di violazione del copyright. Dopo lo shutdown, i ricercatori di ESET hanno scoperto che la repository era - probabilmente inconsapevolmente - parte di una campagna di cryptomining dannosa che risale al dicembre 2017. Per chi non conoscesse Kodi, si tratta di un popolare software di riproduzione multimediale che offre all’utente la possibilità di vedere i canali televisivi del digitale terrestre o satellitari su Smart TV, smartphone, tablet o qualsiasi altro dispositivo di ultima generazione. La cosa più interessante di Kodi però riguarda gli add-on: gli utenti possono infatti estendere le funzionalità del software installando vari componenti aggiuntivi, presenti sia nella repository ufficiale di Kodi che in numerose repository di terze parti. Il che espone la piattaforma a rischi di violazione e compromissione della sicurezza.
La campagna di cryptomining veicolata tramite Kodi
Secondo i dati dei ricercatori di ESET, il malware trovato nel repository XvMBC è stato immesso per la prima volta sulle popolari repository aggiuntive di terze parti Bubbles e Gaia rispettivamente nel dicembre 2017 e nel gennaio 2018. Da queste due fonti e attraverso routine di aggiornamento di proprietari ignari di altre repository, il malware si è diffuso ulteriormente nell'ecosistema Kodi. È il secondo caso pubblicamente noto di malware distribuito su larga scala tramite i componenti aggiuntivi di Kodi, il primo che ha ad oggetto una campagna di cryptomining. Il malware ha un'architettura multi - stage e adotta alcuni stratagemmi per garantire che la sua payload finale - il cryptominer - non possa essere facilmente ricondotto al componente aggiuntivo dannoso. Il cryptominer estrae la criptovaluta Monero e punta ai sistemi operativi Windows e Linux, mentre i ricercatori di ESET non hanno riscontrato finora in the wild alcuna versione del malware che ha come target dispositivi Android o macOS.
I primi cinque paesi colpiti da questa minaccia, secondo la telemetria di ESET, sono gli Stati Uniti, Israele, Grecia, Regno Unito e Paesi Bassi, il che non sorprende dal momento che tutte queste nazioni si trovano nell'elenco dei "top traffic countries" nelle recenti statistiche non ufficiali di Kodi Addon Community. In questa classifica l’Italia è in decima posizione a livello mondiale, a conferma della crescente popolarità di Kodi anche a livello nazionale.
Al momento, le repository da cui il malware ha iniziato a diffondersi sono state chiuse (Bubbles) o non veicolano più il codice dannoso (Gaia); tuttavia, le vittime inconsapevoli che hanno installato il cryptominer sui propri dispositivi sono probabilmente ancora interessate. Inoltre, il malware è ancora presente in altre repository e in alcune Build Kodi già pronte, molto probabilmente senza che i loro autori ne siano a conoscenza.
Cosa fare in caso di infezione
Gli utenti di Kodi su dispositivi Windows o Linux che hanno installato componenti aggiuntivi da repository di terze parti o una Build Kodi già pronta, potrebbero essere stati bersagliati da questa campagna di cryptomining. Per verificare se il dispositivo è stato compromesso, è necessario scansionarlo con una soluzione di sicurezza affidabile. I prodotti ESET rilevano e bloccano queste minacce come Win64 / CoinMiner.
Fonte notizia
blog.eset.it 2018 09 kodi-media-player-gli-add-on-utilizzati-per-campagne-di-cryptomining