Хранилището за Kodi добавки XvMBC е било експлоатирано за кампания копаене на криптовалути, показват резултатите от проучване на компанията за киберсигурност ESET.
Какво е Kodi?
Kodi е плейър за стрийминг на видео, чиято популярност расте, включително и в България.По последни данни от края на 2017 г. то има над 40 млн. активни потребителя, от които 19 млн. са активни всеки месец.
Kodi предоставя на потребителите си платформа за гледане на стрийминг съдържание. Само по себе си, обаче, приложението не позволява гледането на сериали, мачове и др. – за целта потребителите трябва да изтеглят добавки като Bubbles и Gaia, които предоставят съдържанието до устройствата им.
Как работи експлойта
Платформата е използвана за разпространяване на заразени добави за плейъра – Bubbles и Gaia – популярни сред феновете на филми и сериали. Българските потребители не са пострадали в значима степен, но за сметка на това съседна Гърция се нарежда в топ 5 на засегнатите от кампанията страни.
Освен официалното хранилище за добавки към Kodi съществуват и много неофициални такива (така, както освен официалния магазин Google Play съществуват много неофициални хранилища за приложения за Android).
В неофициалните хранилища често могат да се намерят добавки, които предоставят пиратско съдържание – например безплатен достъп до платени телевизионни канали. Подобен е и случаят с XvBMC.
Именно затова холандската асоциация за борба с пиратското съдържание BREIN (Bescherming Rechten Entertainment Industrie Nederland) заведе дело срещу собственика на хранилището и го осъди, принуждавайки го да свали хранилището от интернет.
“Според нашето проучване зловредният код в хранилището XvMBC се е появил най-напред в добавките Bubbles и Gaia – съответно през декември 2017 и януари 2018 г. Оттам той достига до нищо неподозиращите потребители чрез обновяване на добавки или билдове (пакет от много добавки) и се разпространява в екосистемата на Kodi”, посочват от ESET. От компанията допълват, че това е първият пулично известен случай на копач на криптовалути, който се разпространява чрез добавки за Kodi. Той засяга както устройства с Windows, така и такива с Linux.
Как да проверите дали устройството ви е засегнато от кампанията
Първоизточниците на кампанията вече са свалени, но това не означава, че сте в безопасност. Възможно е те да са били част от билд, който сте свалили. Копия на самите добавки все още могат да се намерят в интернет според ESET.
Ако използвате Kodi, най-подходящото решение да проверите дали копачът на криптовалути ви е засегнал, е да сканирате устройството си с антивирусен софтуер.