Es posible que los usuarios del centro de medios Kodi ya sepan que el repositorio de terceros de XvBMC, con sede en Holanda, se cerró recientemente debido a violaciones de derechos de autor.
Investigadores de la compañía de seguridad ESET descubrieron que el repositorio también formaba parte de una campaña maliciosa de criptomoneda que data de diciembre de 2017. Esta es la segunda instancia de Kodi que se usa para criptojacking este año.
“De acuerdo con nuestra investigación, el malware que encontramos en el repositorio XvMBC se agregó por primera vez a los populares repositorios complementarios de terceros Bubbles and Gaia (un fork de Bubbles), en diciembre de 2017 y enero de 2018, respectivamente”, dice Kaspars de ESET Osis, escribiendo en el blog WeLiveSecurity. “A partir de estas dos fuentes, y mediante las rutinas de actualización de propietarios desprevenidos de otros repositorios de complementos de terceros y compilaciones de Kodi ya hechas, el malware se extendió aún más en todo el ecosistema de Kodi“.
El malware tiene una arquitectura de etapas múltiples y emplea medidas de ofuscación para garantizar que su carga final no pueda rastrearse fácilmente hasta el complemento malicioso. Curiosamente, el cryptominer se ejecuta en sistemas Windows y Linux y extrae la criptomoneda Monero.
Los cinco principales países afectados por la amenaza, según la telemetría de ESET, son los Estados Unidos, Israel, Grecia, el Reino Unido y los Países Bajos, lo que no es sorprendente ya que todos estos países se encuentran en la lista de “países con mayor tráfico” de complementos de Kodi.
Puedes encontrar más información sobre cómo funciona el malware en el blog WeLiveSecurity de ESET.
Fuente: maslinux
