Forscher von Eset haben
entdeckt, dass die drei Kodi-Add-ons Bubbles, Gaia und XvBMC bösartigen Code in Form eines Krypto-Miners verstecken. Kodi ist ein Media-Player, der hauptsächlich auf Basis von Add-ons arbeitet. Benutzer installieren Kodi und fügen dann die URL eines oder mehrerer Add-on-Repositorys hinzu, von wo aus sie auswählen, welche Add-ons auf ihren Playern installiert werden sollen.
Gemäss Eset wurde die Malware erstmals im Dezember 2017 beziehungsweise Januar 2018 zu den beliebten Add-On-Repositories hinzugefügt. Aus diesen beiden Quellen und durch Update-Routinen von ahnungslosen Eigentümern anderer Add-on-Repositorys von Drittanbietern und vorgefertigten Kodi-Builds verbreitete sich die Malware weiter im Kodi-Ökosystem.
Die Malware hat eine mehrstufige Architektur und stellt durch Massnahmen sicher, dass der endgültige Payload - der Kryptominer - nicht leicht auf das bösartige Add-on zurückgeführt werden kann. Der Kryptominer läuft unter Windows und Linux und baut die Kryptowährung Monero (XMR) ab.
