Eset warnt vor Kryptomining-Malware in Kodi-Repositories

Eset-Forscher haben entdeckt, dass Drittanbieter Add-ons der beliebten Mediaplayer-Software Kodi für eine Malware-Kampagne missbraucht wurden.

Kryptomining

Eset-Sicherheitsforscher haben aktuell entdeckt, dass Drittanbieter Add-ons für den beliebten Open-Source-Mediaplayer Kodi zu einer Malware-Kampagne missbraucht wurden. Der enttarnte Krypto-Trojaner infiziert sowohl Linux- als auch Windows-Computer zum heimlichen Schürfen von Monero. Die Folgen für die betroffenen User sind eine geringere Rechnerleistung sowie ein höherer Stromverbrauch. Die Benutzer von Kodi sollten ihre installierten Zusatzprogramme daraufhin in einem Systemcheck genauer unter die Lupe nehmen, um einen möglichen Befall zu erkennen und Maßnahmen zu ergreifen, raten die Eset-Forscher in ihrem Blogeintrag. Der System-Scan ist deshalb empfehlenswert, weil die Belastung für Nutzer selbst kaum erkennbar sei.

Die Kodi Media Player Software ist gerade in den letzten Jahren immer populärer geworden. Kodi, ein Open-Source-Projekt, das Plugins unterstützt, ist ein beliebtes Tool, um auf Geräten, wie dem Amazon Fire TV Stick, eine alternative Oberfläche für den Medienkonsum zu nutzen. Zudem bietet Kodi allerdings auch die Möglichkeit, eigentlich kostenpflichtige Programme und Serien, Filme und anderes zu konsumieren, da es mittels inoffizieller Add-ons das Streamen von neuem Content aus dubiosen Quellen unterstützt.


Laut Eset befand sich die Malware in den Dritt-Anbieter-Repositories Bubbles, Gaia und XvBMC-NL. XvBMC, eine niederländische Kodi-Add-On-Site, wurde bereits im August letzten Jahres wegen Urheberrechtsverletzungen geschlossen. Nach dem Shutdown stellte Eset fest, dass das Repository – wahrscheinlich unwissentlich – Teil einer bösartigen Cryptomining-Kampagne war, die bis auf den Dezember 2017 zurückging. Mindestens zwei der dort gehosteten Add-ons enthielten Malware. Während Bubbles und XvBMC-NL bereits abgeschaltet sind und Gaia das infizierte Add-on nicht mehr anbietet, liegt der Schädling weiterhin noch in einigen vorgefertigten inoffiziellen Kodi-Builds auf der Lauer.

Die Malware verfügt über eine mehrstufige Architektur und verwendet Maßnahmen, um sicherzustellen, dass ihre endgültige Nutzlast – der Kryptominer – nicht einfach auf das schädliche Add-On zurückgeführt werden kann, geben die Sicherheitsforscher bekannt, wobei die Malware, ist sie einmal auf dem Computer gelandet, wie folgt vorgeht: „Das bösartige Repository bietet ein Add-On namens script.module.simplejson an, ein Name, der dem eines legitimen Add-Ons entspricht, das von vielen anderen Add-Ons verwendet wird. Während andere Repositorys nur das Add-on script.module.simplejson in Version 3.4.0 haben, wird dieses Add-on vom schädlichen Repository mit der Versionsnummer 3.4.1 bereitgestellt. Da Kodi zur Aktualisierungserkennung auf Versionsnummern angewiesen ist, erhalten alle Benutzer mit der aktivierten Funktion „Automatische Aktualisierung“ automatisch die Datei script.module.simplejson Version 3.4.1 aus dem schädlichen Repository.“ Kodi wird dann angewiesen, ein Add-On namens script.module.python.requests mit Version 2.16.0 oder höher herunterzuladen und zu installieren, das zusätzlichen, schädlichen Python-Code enthält, der eine Windows- oder Linux-Binärdatei herunterlädt und ausführt. Diese ausführbare Datei ist ein Downloader, der den ausführbaren Kryptominer abruft und ausführt. Wenn die Installation des Cryptominers erfolgreich ist, geht der schädliche Python-Code in eine Selbstentfernungsphase über und löscht sich selbst. Durch die standardmäßig automatisch durchgeführte Aktualisierung könnten sich Kodi-Nutzer auch unwissentlich infiziert haben.

Eset schätzt, dass mindestens 4.774 Systeme die Mining-Software bereits in Betrieb haben. Die Malware hat bisher 62,57 Monero-Währung generiert, etwa 5.700 Euro oder 6.700 US-Dollar gemäß aktuellen Kursen. Thomas Uhlemann, Security Specialist bei Eset, meint: „Wenn Nutzerinnen und Nutzer Kodi und seine Add-ons auf einem Windows- oder Linux-Gerät verwenden, sollten sie auf Nummer sicher gehen und ihre Systeme auf jeden Fall mit einer zuverlässigen Anti-Malware-Lösung scannen.“ Die Forscher meinen, es sei schwer möglich, einen Kausalzusammenhang zwischen der tatsächlichen geringeren Rechnerleistung und dem „bösartigen Add-on“ herzustellen. Selbst ohne ein funktionierendes Add-on auf dem Rechner, könnte die Malware weiterhin aktiv sein, warnt Eset in einer Stellungnahme.

Bildquelle: MasterTux, thx! (CC0 Public Domain)

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.