Menü
Security

Malware: Krypto-Trojaner versteckte sich in Kodi-Repositories

Wer die Mediaplayer-Software Kodi und Dritt-Anbieter-Repositories nutzt, könnte sich einen Schädling eingefangen haben, der Kryptowährung schürft.

Von
vorlesen Drucken Kommentare lesen 17 Beiträge
Malware: Krypto-Trojaner versteckte sich in Kodi-Repositories

(Bild: WorldSpectrum)

Um die freie Mediaplayer-Software Kodi mit weiteren Funktionen auszustatten, kann man aus verschiedenen Repositories Add-ons laden. Die offizielle Quelle dafür ist gut behütet, doch Repositories von Dritt-Anbietern bieten mitunter nicht nur Erweiterungen zum illegalen Abruf von Filmen, sondern auch mit Malware verseuchte Add-ons an.

Jetzt ist erstmals ein Schädling aufgetaucht, der Linux- und Windows-Computer aus einem Kodi-Add-on heraus mit einem Krypto-Trojaner infiziert. Dieser schürft heimlich die Kryptowährung Monero. Davor warnen Sicherheitsforscher von Eset nun in einem Blog-Eintrag. Da Kodi ein plattformübergreifendes Mediacenter ist, hätten die Malware-Autoren mit vergleichsweise wenig Aufwand durchaus weitere Plattformen ins Visier nehmen können.

Der Krypto-Trojaner soll in den Dritt-Anbieter-Repositories Bubbles, Gaia und XvBMC-NL gelauert haben. Mittlerweile sind Bubbles und XvBMC-NL Eset zufolge abgeschaltet und Gaia soll das infizierte Add-on nicht mehr anbieten. Außerdem soll sich der Schädling in einigen vorgefertigten inoffiziellen Kodi-Builds befinden. Im Blog-Eintrag findet man Infos zu Mirrors von Repositories und Builds, in denen der Schädling noch lauert.

Wer eines dieser Repositories genutzt hat, bekam das Add-on "script.module.simplejson" angeboten. Das Perfide daran ist, dass es auch eine legitime Erweiterung gibt, die diesen Namen trägt. Zudem setzen viele Add-ons dieser Erweiterung voraus, damit sie funktionieren. Verseucht ist Eset zufolge die Version 3.4.1 von script.module.simplejson. Da Kodi Add-ons standardmäßig automatisch aktualisiert, können sich Kodi-Nutzer unwissentlich infiziert haben.

Eset geht davon aus, dass die Autoren der Malware sich aufgrund der Beschaffenheit ihres Codes gut mit der Kodi-Add-on-Architektur auskennen. Unter Windows landet der Schädling unter \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TrustedInstaller.exe. Das Linux-Pendant findet sich in /tmp/systems/systemd. Mittlerweile sollten viele Virenscanner den Krypto-Trojaner erkennen.

Die Kampagne läuft den Sicherheitsforschern zufolge seit Dezember 2017. Bis dato sollen weniger als 5000 Kodi-Nutzer davon betroffen sein. Eset gibt an, dass die Hintermänner mittlerweile Monero im Wert von rund 5700 Euro auf diesem Weg erbeutet haben. (des)

Anzeige