Votre Kodi exploite-t-il secrètement Monero? Oui, malheureusement, certains cyber voyous ont militarisé l’application de streaming multimédia en cachant des logiciels malveillants dans les modules complémentaires Kodi. Les chercheurs ont découvert la première campagne de cryptomining malveillante connue à être lancée via la plate-forme Kodi. Il y a encore environ 5000 victimes qui exploitent sans le savoir Monero via leur Kodi pour les cyber-voyous.

Ah, mec, dis que ce n’est pas le cas.

Malgré les histoires de peur des malwares Kodi, il n’y a eu qu’une seule fois connue où des malwares étaient distribués via un module complémentaire Kodi. Mais cela n’a pas empêché certains groupes anti-piratage de prétendre que Kodi était utilisé pour distribuer des logiciels malveillants.

Par exemple, après avoir visionné une interview vidéo filmée au RSA sur «la croissance des logiciels malveillants sur la plate-forme Kodi / XMBC», Torrent Freak raillé. Le groupe avec lequel la personne interrogée a travaillé publiait des histoires de peur des logiciels malveillants liés à Kodi pour promouvoir la lutte contre le piratage. Malgré les affirmations alarmantes faites, qui manquaient de faits réels, à la connaissance de Torrent Freak, un seul module complémentaire Kodi avait jamais été utilisé à des fins DDoS – et c’était de retour en 2017. Le président de la Fondation XBMC n’avait pas entendu parler de logiciels malveillants dans un flux vidéo, et un analyste des menaces chez BitDefender n’avait vu aucun malware dans un flux vidéo dans la nature depuis 2005.

En fait, certains cyber voyous ont en fait décidé que Kodi serait une bonne plate-forme de distribution de logiciels malveillants. Des chercheurs d’ESET ont détecté la première campagne de cryptomining publiquement connue lancée via la plateforme Kodi. Si vous utilisez des modules complémentaires pour améliorer votre plaisir de visionner un film ou une télévision, il est possible que votre Kodi Windows ou Linux exploite secrètement Monero depuis des mois et des mois. En fait, il peut continuer à le faire à moins que vous n’agissiez.

Après la fermeture du référentiel XBMC pour les modules complémentaires, ESET a découvert que le référentiel faisait partie d’une campagne de cryptomining remontant à décembre 2017. Ce référentiel a été ajouté aux référentiels de modules complémentaires Bubbles et Gaia en décembre 2017 et janvier 2018. ESET a averti: «À partir de ces deux sources et grâce aux routines de mise à jour de propriétaires sans méfiance d’autres référentiels de modules complémentaires tiers et de versions prêtes à l’emploi de Kodi, le malware s’est propagé davantage dans l’écosystème Kodi.»

Comment votre Kodi a-t-il été infecté?

Le mineur n’est pas si facile de retrouver le module complémentaire malveillant, mais ESET a répertorié trois façons dont votre Kodi aurait pu être infecté et a commencé à exploiter Monero:

1.) Si vous avez ajouté l’URL d’un référentiel malveillant à votre installation Kodi ou 2.) si l’URL malveillante a été ajoutée à votre Kodi entièrement chargé. Quoi qu’il en soit, le mineur a été installé lorsque vous avez mis à jour vos modules complémentaires Kodi. Et 3.) Si votre Kodi entièrement chargé a le module complémentaire malveillant mais n’était pas lié à un référentiel de mises à jour, même sans mettre à jour le module complémentaire, «si le cryptominer est installé, il persistera et recevra des mises à jour.»

Le portefeuille Monero de l’attaquant montre 4774 victimes toujours minées et un solde d’environ 6700 $ de Monero. Les cinq pays les plus touchés sont les États-Unis, Israël, la Grèce, le Royaume-Uni et les Pays-Bas, qui sont également les «principaux pays à trafic», selon les statistiques non officielles de la communauté Kodi Addon.

ESET a plongé en profondeur dans le code Python qui fournit des fichiers binaires de malwares aux installations Kodi Linux et Windows.

«Il est clair que le code est écrit par quelqu’un ayant une bonne connaissance de Kodi et de son architecture complémentaire. Le script détecte sur quel système d’exploitation il s’exécute (seuls Windows et Linux sont pris en charge; Android et macOS sont ignorés), se connecte à son serveur C&C et télécharge et exécute un module de téléchargement binaire approprié au système d’exploitation », a écrit ESET. Les référentiels de modules complémentaires qui ont initialement introduit ce malware dans l’écosystème Kodi sont désormais soit fermés, soit nettoyés, ce qui ne répond pas aux nombreux appareils qui avaient déjà exécuté les modules complémentaires malveillants. »

Comment supprimer le cryptomining malveillant de votre Kodi

Pour savoir si votre Kodi a été compromis, ESET a conseillé de le scanner avec une solution anti-malware fiable. ESET a répertorié un scanner gratuit pour le Kodi Windows ou un essai gratuit pour analyser le système d’exploitation Linux sur Kodi.

Trend Micro a déclaré il dispose également d’une solution capable de détecter le minage de crypto-monnaie. Et Recommandé par IBM mettre en œuvre des contrôles capables d’identifier l’activité minière et de bloquer les variantes de logiciels malveillants miniers.