Algunos repositorios no oficiales de la plataforma de código abierto de Kodi de transmisión de medios servirán como un plugin que lleve a sus usuarios a descargar malwares de criptominería a sus sistemas Windows y Linux.
Investigadores de seguridad descubrieron una campaña que infecta las máquinas que corren Kodi utilizando un repositorio no oficial alterado por cibercriminales que utilizarían los recursos de los usuarios de Kodi para minar Monero.
De acuerdo con los reportes, la operación habría iniciado en diciembre del año pasado a través de un plugin ‘script.module.simplejson’ hosteado por el extinto repositorio Bubbles, y tras su desaparición, el repositorio Gaia se encargaría de la distribución del malware.
Considerando que los plugins para Kodi están disponibles en muchos repositorios y la verificación para una actualización sólo necesita el número de versión, las víctimas inocentes podrían instalar el malware simplemente al refrescar los repositorios que utilizan el archivo modificado.
De momento, los países más afectados por este malware serían los Estados Unidos, Israel, el Reino Unido, los Países Bajos y Grecia. Además, estos países serían los que registran mayor tráfico de plugins de Kodi.
En la actualidad, el plugin está en su versión 3.4.0, mientras que el repositorio infectado se presenta como la versión 3.4.1, de forma que los usuarios de Kodi actualizaran de forma automática e instalaran esta versión.
Este plugin utiliza código de Python para ejecutar la criptominería de Monero sin que los usuarios se enteren. Una vez es instalado, el hilo de Python que se instala desaparece de la computadora afectada.
Una vez más, Monero sería la principal fuente de ingresos de los cibercriminales, levantando las preocupaciones de muchos entes reguladores que alegan que, debido al alto nivel de privacidad del activo digital, podría vincularse con facilidad a actividades ilícitas como financiamiento al terrorismo, robo, fraude e incluso lavado de dinero.
