Eset warnt vor Kryptomining-Malware in Kodi-Repositories

Eset-Sicherheitsforscher haben aktuell entdeckt, dass Drittanbieter Add-ons für den beliebten Open-Source-Mediaplayer Kodi zu einer Malware-Kampagne missbraucht wurden. Der enttarnte Krypto-Trojaner infiziert sowohl Linux- als auch Windows-Computer zum heimlichen Schürfen von Monero. Die Folgen für die betroffenen User sind eine geringere Rechnerleistung sowie ein höherer Stromverbrauch. Die Benutzer von Kodi sollten ihre installierten Zusatzprogramme daraufhin in einem Systemcheck genauer unter die Lupe nehmen, um einen möglichen Befall zu erkennen und Maßnahmen zu ergreifen, raten die Eset-Forscher in ihrem Blogeintrag. Der System-Scan ist deshalb empfehlenswert, weil die Belastung für Nutzer selbst kaum erkennbar sei.

Die Kodi Media Player Software ist gerade in den letzten Jahren immer populärer geworden. Kodi, ein Open-Source-Projekt, das Plugins unterstützt, ist ein beliebtes Tool, um auf Geräten, wie dem Amazon Fire TV Stick, eine alternative Oberfläche für den Medienkonsum zu nutzen. Zudem bietet Kodi allerdings auch die Möglichkeit, eigentlich kostenpflichtige Programme und Serien, Filme und anderes zu konsumieren, da es mittels inoffizieller Add-ons das Streamen von neuem Content aus dubiosen Quellen unterstützt.

Laut Eset befand sich die Malware in den Dritt-Anbieter-Repositories Bubbles, Gaia und XvBMC-NL. XvBMC, eine niederländische Kodi-Add-On-Site, wurde bereits im August letzten Jahres wegen Urheberrechtsverletzungen geschlossen. Nach dem Shutdown stellte Eset fest, dass das Repository – wahrscheinlich unwissentlich – Teil einer bösartigen Cryptomining-Kampagne war, die bis auf den Dezember 2017 zurückging. Mindestens zwei der dort gehosteten Add-ons enthielten Malware. Während Bubbles und XvBMC-NL bereits abgeschaltet sind und Gaia das infizierte Add-on nicht mehr anbietet, liegt der Schädling weiterhin noch in einigen vorgefertigten inoffiziellen Kodi-Builds auf der Lauer.

Die Malware verfügt über eine mehrstufige Architektur und verwendet Maßnahmen, um sicherzustellen, dass ihre endgültige Nutzlast – der Kryptominer – nicht einfach auf das schädliche Add-On zurückgeführt werden kann, geben die Sicherheitsforscher bekannt, wobei die Malware, ist sie einmal auf dem Computer gelandet, wie folgt vorgeht: “Das bösartige Repository bietet ein Add-On namens script.module.simplejson an, ein Name, der dem eines legitimen Add-Ons entspricht, das von vielen anderen Add-Ons verwendet wird. Während andere Repositorys nur das Add-on script.module.simplejson in Version 3.4.0 haben, wird dieses Add-on vom schädlichen Repository mit der Versionsnummer 3.4.1 bereitgestellt. Da Kodi zur Aktualisierungserkennung auf Versionsnummern angewiesen ist, erhalten alle Benutzer mit der aktivierten Funktion “Automatische Aktualisierung” automatisch die Datei script.module.simplejson Version 3.4.1 aus dem schädlichen Repository.” Kodi wird dann angewiesen, ein Add-On namens script.module.python.requests mit Version 2.16.0 oder höher herunterzuladen und zu installieren, das zusätzlichen, schädlichen Python-Code enthält, der eine Windows- oder Linux-Binärdatei herunterlädt und ausführt. Diese ausführbare Datei ist ein Downloader, der den ausführbaren Kryptominer abruft und ausführt. Wenn die Installation des Cryptominers erfolgreich ist, geht der schädliche Python-Code in eine Selbstentfernungsphase über und löscht sich selbst. Durch die standardmäßig automatisch durchgeführte Aktualisierung könnten sich Kodi-Nutzer auch unwissentlich infiziert haben.

Eset schätzt, dass mindestens 4.774 Systeme die Mining-Software bereits in Betrieb haben. Die Malware hat bisher 62,57 Monero-Währung generiert, etwa 5.700 Euro oder 6.700 US-Dollar gemäß aktuellen Kursen. Thomas Uhlemann, Security Specialist bei Eset, meint: “Wenn Nutzerinnen und Nutzer Kodi und seine Add-ons auf einem Windows- oder Linux-Gerät verwenden, sollten sie auf Nummer sicher gehen und ihre Systeme auf jeden Fall mit einer zuverlässigen Anti-Malware-Lösung scannen.” Die Forscher meinen, es sei schwer möglich, einen Kausalzusammenhang zwischen der tatsächlichen geringeren Rechnerleistung und dem „bösartigen Add-on“ herzustellen. Selbst ohne ein funktionierendes Add-on auf dem Rechner, könnte die Malware weiterhin aktiv sein, warnt Eset in einer Stellungnahme.

Bildquelle: MasterTux, thx! (CC0 Public Domain)

"Eset warnt vor Kryptomining-Malware in Kodi-Repositories", 5 out of 5 based on 1 ratings.

Vielleicht gefällt dir auch

6 Kommentare

  1. Polo sagt:

    Davon ging ich auch nicht aus. In letzter Zeit wird nur immer so viel auf auf dem Projekt “rumgedroschen” dass aus Sicht vieler Leute Kodi selbst etwas illegales ist was man verbieten sollte.
    Das finde ich bei so einem guten Projekt einfach schade, daher sollte man gerade jetzt ganz genau auf die Formulierung achten.

  2. Polo sagt:

    Zitat: “Zudem bietet Kodi allerdings auch die Möglichkeit, eigentlich kostenpflichtige Programme und Serien, Filme und anderes zu konsumieren, da es mittels inoffizieller Add-ons das Streamen von neuem Content aus dubiosen Quellen unterstützt.”

    Unglücklich formuliert. Zwar ist dies durch unseriöse Addons möglich, doch weder bietet Kodi diese Möglichkeit, noch unterstützt es diese!


    • Was unternehmen die Entwickler von Kodi denn praktisch gegen die Nutzung unseriöser Erweiterungen? Werden die aus der Software beim nächsten Update ausgesperrt, die Nutzung solcher Addons unterbunden?

      • Anonymous sagt:

        Auch wenn abstrus und weit hergeholt: Wie gedenken Automobilhersteller das absichtliche rasen, das fahren auf der falschen Seite etc. zu unterbinden?
        Oder das althergebrachte Argument: Eine Waffe per se ist nichts schlechtes, erst was der Mensch damit anstellt.

        Insofern finde ich es fraglich, die Verantwortung einfach komplett den Entwicklern zuzuschieben, bzw. unterschwellig zu behaupten Sie würden dies zumindest unterstützen.


        • Ich kann jetzt nicht in Antonias Namen sprechen. Aber ich denke, so krass hat sie das gar nicht gemeint bzw. formulieren wollen.

  3. HBD sagt:

    Erstaunlich welcher Aufwand dabei getrieben wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.