Pengaya untuk Kodi Install Trojan Cryptomining di Windows dan Linux. Kodi adalah media player yang cukup populer karena selain merupakan software open source, juga menawarkan fitur yang luar biasa. Namun tampaknya beberapa repositori tidak resmi untuk pemutar media open-source ini menyediakan pengaya yang telah dimodifikasi dan ditujukan untuk mengunduh cryptomining malware di platform Windows dan Linux.
Operasi ini tampaknya sudah berlangsung sejak bulan Desember 2017 melalui add-on ‘script.module.simplejson‘ yang dihosting oleh repositori Bubbles yang sekarang mati. Saat Bubbles menghilang, repositori Gaia mulai mendistribusikan add-on berbahaya.
Penjahat memanfaatkan sistem verifikasi pembaruan
Peneliti keamanan dari ESET melihat kampanye di repositori XvBMC, yang baru-baru ini ditutup karena pelanggaran hak cipta, tetapi repositori lain cenderung juga menawarkan file yang sudah dimodifikasi.
Karena add-ons Kodi tersedia dari beberapa repositori, dan verifikasi untuk pembaruan hanya membutuhkan nomor versi, korban dapat menambahkan add-on berbahaya ke instalasi Kodi ketika mereka merefresh repositori yang menghosting file yang dimodifikasi.
Pihak ESET juga menambahkan bahwa pembaruan yang rutin dari pemilik repositori dan juga tidak adanya kecurigaan dari pemilik repositori lain membuat penyebaran add-ons berbahaya ini ke seluruh ekosistem pengguna Kodi.
Saat ini, lima negara teratas yang terkena dampak adalah Amerika Serikat, Israel, Yunani, Inggris dan Belanda, yang juga negara asal XvBMC. Negara-negara ini juga merupakan negara yang mencatat lalu lintas terbanyak untuk pengaya Kodi.
‘script.module.simplejson‘ adalah nama pengaya Kodi yang sah, tetapi penjahat cyber menyalahgunakan sistem pembaruan yang digunakan oleh Kodi dan merilis varian yang tidak diinginkan dengan nomor versi yang lebih tinggi.
Saat ini, ‘script.module.simplejson‘ ada di versi 3.4.0, sedangkan repositori jahat menyediakan versi 3.4.1. Karena repositori jahat ini memiliki versi yang lebih tinggi, pengguna Kodi otomatis akan memperbarui pengaya ‘script.module.simplejson‘ dan menginstal versi yang mengandung trojan.
Pada yang terlihat pada timeline diatas, repositori dari mana malware pertama kali mulai menyebar adalah dari Bubbles dan Gaia yang saat ini sudah tidak aktif, namun, tanpa disadari korban yang memiliki cryptominer yang terpasang di perangkat mereka kemungkinan masih terpengaruh. Di atas itu, malware masih ada di repositori lain dan beberapa build Kodi yang sudah jadi, kemungkinan besar tanpa sepengetahuan penulisnya.
Infeksi dapat terjadi setiap kali pengguna mengarahkan Kodi untuk memeriksa URL repositori yang diijinkan untuk melakukan pembaruan tambahan atau ketika mereka menginstal build yang sudah jadi dari pemutar media yang sudah berisi URL atau add-on yang dimodifikasi itu sendiri.
ESET menganggap bahwa pengguna yang menginstall add-ons dari repositori pihak ketiga kemungkinan juga dapat terinfeksi.
