Beveiligingsonderzoekers vinden malware in Kodi-add-ons

Verscheidene add-ons voor Kodi gemaakt door derden blijken malware te bevatten, zo ontdekten beveiligingsonderzoekers. Infectie zorgde ervoor dat er cryptominingsoftware werd geïnstalleerd op de Kodi-installatie.

Kodi v18 Leia

Dat melden beveiligingsonderzoekers van het bedrijf ESET. Op hun blog beschrijven zij hoe de malware werd ontdekt; de kwaadwillende software bleek in een Nederlandse softwarebibliotheek voor add-ons te zitten, met de naam XvBMC. Waarschijnlijk waren de makers van de bibliotheek hiervan niet op de hoogte, aldus ESET. Op het blog leggen de onderzoekers uit hoe de malware precies werkt en op Kodi-installaties terecht komt.

Inmiddels is XvBMC niet meer toegankelijk voor Kodi-gebruikers, omdat de softwarebibliotheek offline werd gehaald na een klacht van Brein vanwege copyrightinbreuk. De software, die werd verspreid via Github, is vorige maand offline gehaald, maar kon dus tot die tijd Kodi-gebruikers besmetten met de coinminingsoftware, iets dat waarschijnlijk december vorig jaar is begonnen.

Volgens de onderzoekers van ESET is de malware waarschijnlijk als eerste op het Kodi-platform verschenen via de repositories Bubbles en Gaia. Pas daarna werd ook XvBMC besmet. Omdat XvBMC door duizenden gebruikers is gedownload, zijn er potentieel veel besmettingen. ESET noemt geen precieze getallen, maar er zouden voornamelijk gebruikers getroffen zijn in Nederland, het Verenigd Koninkrijk, de Verenigde Staten, Israël en Griekenland. Inmiddels wordt de malware niet meer verspreid, maar zijn er mogelijk nog wel veel Kodi-gebruikers die de cryptominingsoftware op hun installatie hebben staan.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 15-09-2018 10:46
60 • submitter: player-x

15-09-2018 • 10:46

60

Submitter: player-x

Lees meer

UWP-versie Kodi wordt mogelijk stopgezet wegens tekort aan ontwikkelaars
UWP-versie Kodi wordt mogelijk stopgezet wegens tekort aan ontwikkelaars Nieuws van 26 november 2019
'Sony blokkeert Kodi-app op recente tv's met Android TV'
'Sony blokkeert Kodi-app op recente tv's met Android TV' Nieuws van 7 januari 2019
Eerste bètaversie van Kodi 18 is beschikbaar
Eerste bètaversie van Kodi 18 is beschikbaar Nieuws van 28 augustus 2018
Kodi-team brengt officiële alfa-build van versie 18 uit
Kodi-team brengt officiële alfa-build van versie 18 uit Nieuws van 5 maart 2018
Alpha-versie van Kodi 18.0 verschijnt voor de Xbox One - update
Alpha-versie van Kodi 18.0 verschijnt voor de Xbox One - update Nieuws van 29 december 2017
Meer producten en artikelen
Beveiliging en antivirus

Reacties (60)

-Moderatie-faq
60
56
33
4
1
12
Wijzig sortering
Anoniem: 24916 15 september 2018 12:24
Als ze dan even vermelden wat je kan doen om de besmetting verwijderd te krijgen voor de mensen die die Add-ons gebruikt hebben...
thimo1 @Anoniem: 2491615 september 2018 13:06
Volgens het team achter de Gaia addon doe je dat zo:

The way to check if your infected is go to
From Kodi home screen click SYSTEM (cog wheel top right)>SYSTEM SETTINGS
Change settings level (bottom left) to ADVANCED or EXPERT>ADD-ONS
On the right select MANAGE DEPENDENCIES
Scroll down to simplejson right click on it and go to information and if you have version 3.4.1 you been compromised you need version 3.4.0 from kodi tv and install it instead .
Go to the Kodi hidden addon folder and delete script.module.python.requests

[Reactie gewijzigd door thimo1 op 23 juli 2024 18:26]

Anoniem: 1117499 @thimo118 september 2018 17:05
Ik heb versie 3.3.0 is dat ook goed?
thimo1 @Anoniem: 111749918 september 2018 22:08
Waarschijnlijk wel maar toch is het een goed idee om bij te werken naar de laatste versie. Als je hebt nu een repo hebt geïnstalleerd waar de besmett eversie in zit kan hij daar automatisch naar worden bijgewerkt omdat de besmette versie een hoger nummertje heeft.
Mathijs @Anoniem: 2491615 september 2018 14:02
Dit is niet zo makkelijk, ja het verwijderen is niet zo moeilijk maar jezelf beschermen tegen nieuwe infecties wel.
Voorzover ik weet, kan er dan nog steeds bij installatie of updaten van een plugin python code worden uitgevoerd, waardoor je gewoon weer met iets nieuws geinfecteerd kunt worden.
Verzamelrepo's zonder duidelijk doel van de beheerders ervan zijn in principe verdacht. Wanneer je een repo start met de meest populaire plugins en daar vervolgens howto's voor online gaat zetten die verwijzen naar jouw handige repo die alle populaire plugins bevat, zullen er veel zijn die voor je repo kiezen, want het is lekker makkelijk en niet voor iedere nieuwe plugin hoeft er weer een repo toegevoegd te worden. Daarbij volgen veel gebruikers howto's klakkeloos en zonder er verder bij na te denken dat degene die de howto plaatst, het ook wel eens minder goed met je voor kan hebben.

Nu na een tijdje plaats je een update voor een module die door veel plugins gebruikt wordt in de repo, alleen is deze update voorzien van python code die er niet in thuis hoort.
Dan heb je vrij direct een groot botnet of een cryptominer met vele kleintjes die samen een grote maakt.

Automatische pluginupdates uitschakelen in Kodi en voor updaten eerst de updates nakijken is voorzover ik zie de enige optie. Ik ben begin dit jaar zelf "slachtoffer" geweest van deze cryptominer en niet zomaar repo's installeren en automatische updates uitschakelen is wat ik ertegen gedaan heb.
Bij mij was het een desktop die plots een core 100% ging verbruiken. Wanneer ik top of htop startte, schakelde de miner zich snel uit. Op een raspberry pi of mediabox zal het waarschijnlijk niet snel opvallen. Ik was nog blij dat het enkel een cryptominer betrof, want ik realiseerde mijzelf maar al te goed wat er nog meer had kunnen gebeuren en hoe kinderlijk gemakkelijk het is om dit uit te buiten.

[Reactie gewijzigd door Mathijs op 23 juli 2024 18:26]

bartvincke @Mathijs15 september 2018 15:45
De versie is ondertussen een cleane v3.4.2 die de eventuele aanwezige malicious 3.4.1 vervangt
Aaargh! @Anoniem: 2491615 september 2018 15:26
Als je systeem gecompromitteerd is dan is er over het algemeen maar 1 oplossing om zeker te zijn dat alles weg is en dat is schijf wissen en een schone installatie doen van alles.
Mathijs @Aaargh!15 september 2018 16:11
Dat zeggen veel anderen ook, maar ik vind dat juist de meest onveilige oplossing omdat er vaak vrijwel direct met de schone installatie begonnen wordt.
Als zoiets bij mij gebeurt wil ik weten hoe, wat en waar. Wanneer ik dat weet kan ik een afweging maken wat er nodig is.
Ook weet ik dan wanneer ik wel opnieuw zou installeren, dat ik niet dezelfde fout maak of dezelfde kwetsbaarheid weer open heb staan.
Je kunt ook beter je uitspraak veranderein van "Als je systeem gecompromitterd is" naar "wanneer je weet dat je systeem gecompromitteerd is" en daar zit ook direct de crux.
Na het bekend worden van een lek in iets dat je gebruikt kun je anders wel iedere keer herinstalleren, aangezien je niet weet of het bij jou al uitgebuit is.
bossanova 15 september 2018 11:09
Dit is natuurlijk het gevolg van de open access structuur van dit soort software. Er is blijkbaar niemand die de addons inspecteert als derde partij. Eigenlijk moet dat worden ingebouwd, dat derde partijen deze addons inspecteren en releasen. Het is open source dus de broncode is vrijgegeven en door iedereen te inspecteren. Maar ja, als vervolgens niemand dat doet ....
Anoniem: 221563 @bossanova15 september 2018 11:18
Kodi bied zijn eigen repo aan waar je met gerust hart de addons kunt installeren. Addons van derde staan standaard gedeactiveerd, juist voor dit soort taferelen.

Kodi zelf heeft dus ook controle over wat wel of niet in hun repo verschijnt. Addons die copyright omzeilt komen er bijvoorbeeld niet in.
Klojum @Anoniem: 22156315 september 2018 12:00
De ontwikkelaars van CoreELEC vonden het een goed idee om die standaard check/waarschuwing binnen Kodi te omzeilen. Na wat heen-en-weer gescheld overleg is dat weer teruggedraaid.

[Reactie gewijzigd door Klojum op 23 juli 2024 18:26]

Sfynx @Klojum15 september 2018 12:28
Een fork van LibreELEC, wat een fork is van OpenELEC... blijkbaar is het forken van een project dé methode om een meningsverschil op te lossen in die kringen, maar voor de eindgebruiker wordt het er zo niet duidelijker op :')
Klojum @Sfynx15 september 2018 18:07
Als ontwikkelaars zichzelf als 'supreme being' zien met hun eigen opvatting als leidend en onfeilbaar, dan mogen ze van mij een een fork van LibreELEC maken.

De fork van OpenELEC was gewoon noodzakelijk doordat er geen enkele vorm communicatie meer mogelijk was met de projectleider, en de boel op de klippen liep.

[Reactie gewijzigd door Klojum op 23 juli 2024 18:26]

Christoxz @bossanova15 september 2018 11:14
Ingebouwd worden door wie? kodi is hier niet verantwoordelijk voor.
Nas T @Christoxz15 september 2018 11:22
Ingebouwd door de community. Er lijkt me best prima iets te verzinnen met door de community beheerde repositories.
EraYaN @Nas T15 september 2018 11:55
Dat is al zo dit was niet het officiële repo.
jrutgers @EraYaN15 september 2018 12:13
ja op zich wel.
Maar daar op ga je nooit die stream mogelijkheden die vergelijkbare en groter bibliotheken dan netflix bieden vinden.
Dus mensen nemen "bewust" het risico door deze repo's te installeren.

Het is open source, dus iedereen kan het nakijken.
Maar niet iedereen kan dit, en gezien de hoeveelheid content zal er altijd iets doorheen glippen.

Wat je wel zou kunnen stellen is dat de samensteller van de repo zorg draagt voor de integriteit van de addons.
SuperDre @Nas T15 september 2018 17:15
En wie controleert dan deze open community 3rd party?
ashwin911 @bossanova15 september 2018 11:21
Dat je de broncode vrij is van malware betekent nog steeds niet dat de binaries die worden vrijgegeven geen kwaadaardige code bevat. En hoeveel mensen compilen de add-ons nou zelf.
2green @ashwin91115 september 2018 11:26
strict gezien zou dit kunnen, praktisch gezien hebben de buildservers een 1:1 koppeling met de repository waar deze opensource code in staat. Zoals in het geval van kodi zelf beheerde binairies.
Stoney3K @2green16 september 2018 11:50
Dan kan nog altijd de compiler op de buildserver gecompromitteerd zijn.
2green @Stoney3K16 september 2018 13:28
Tuurlijk... maar daar ging het niet over en daarop kun je ook maatregelen nemen.
mg794613 @ashwin91115 september 2018 22:24
En dan nog, Ken Thompson zag dit decennia geleden al. Echt veilig bestaat helaas niet en je ontkomt niet aan een 'circle of trust'
kodak
@bossanova15 september 2018 12:38
Er is onderzoek gedaan, het is ontdekt, er is dus 'controle'. ;)
Als het niet vaak mis gaat, wie gaat dan de moeite nemen om hier in te investeren? De gebruiker lijkt geen moeite met het risico te hebben. De ontwikkelaars niet en de distributie niet. Kennelijk wegen de kosten nog niet op tegen het risico wat ze willen accepteren.
bossanova @kodak15 september 2018 21:19
Nee. Controle is structureel. Deze mining addons zijn er doorgeglipt doordat er geen controle was.
Kodi is free software dus kosten zijn geen issue. In de free softwarewereld wordt ook om niet ontwikkeld.

Waar het om gaat bij Kodi en deze ongecontroleerde repositories is dat er vaak addons worden aangeboden waarmee je 'illegale' dingen kunt doen die je niet legaal kunt doen omdat de mogelijkeid er niet is. Helaas is er onvoldoende WIL om die oplossingen betaalbaar legaal te maken. Je zou bijv. als buma/stemra ook een gecertificeerde addon kunnen uitbrengen die per minuut gestreamde film een eurocent rekent. Dan betaal je 1 a 2 euro per bekeken film en je legatimiseert daarmee het streamen. Van de opbrengst compenseer je voor een deel de hosters en een deel gebruik je voor copyright. Dan ben je bezig met het uitvoeren van je werk als Buma/Stemra of MPAA of andere copyrightclub

Als ik nu The Lord of The Rings trilogie wil bekijken, die ik in de bioscoop al heb gezien, betaal ik minimaal 25 euro en dan moet ik ze bestellen op DVD zodat ik nu niet kan kijken. Heel veel films zijn niet eens meer verkrijgbaar op DVD of met heel veel moeite en die zijn er wel via torrents. Misschien is er wel ergens een streamalternatief maar die zijn allemaal verspreid en daar moet ik naar zoeken voor iedere film apart. Met voorgestelde addon betaal ik 6 euro en kan ik gelijk beginnen met kijken. Als een paar euro nou naar de hoster gaat, kan die de opslag bekostigen en deze technologie betalen.

Maar zoals ik al zei, men wil dat blijkbaar niet. En dus is voor velen nu de enige oplossing, een VPN en een illegale KODI addon.
dasiro @bossanova15 september 2018 11:41
Maar ja, als vervolgens niemand dat doet
wat denk je dat het onderwerp van dit artikel is? ;)

je kan moeilijk verwachten dat elke (plugin van) open source software eerst wordt gepeerreviewed (spelling?) vooraleer het wordt vrijgegeven
Azbest @bossanova15 september 2018 11:46
Niet echt, domweg alles wat veel gebruikt wordt en populair is zal dit soort praktijken aantrekken. Wat zou het nut anders zijn van een Malware schrijven?
De code die actief wordt ontwikkeld wordt nagekeken door verschillende programmeurs en partijen, er vanuit gaande dat diegenen geen Malware willen, voorkom je dit dus juist eerder.
Zodra je software van derden gaat gebruiken, dan zet je deur letterlijk open voor dit soort praktijken. Hoe dan ook, dit was best vlot ontdekt.

Een ander goed voorbeeld onlangs was Acrobat Reader op Arch Linux, uit hun AUR repositories. Iemand had zichzelf eigenaar gemaakt van dat pakket en malware geplaatst. Heel wat systemen hebben die update klakkeloos geïnstalleerd.
https://www.bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository/

Kortom, zelf opletten en lezen. Ik installeer nooit automatisch updates, ook omdat ik het soms niet eens ben met aanpassingen.
mark-k 15 september 2018 11:05
XvBMC repo heb ik niet, maar Gaia wel, is de kans dan groot dat ik toch besmet ben?
Triblade_8472 @mark-k15 september 2018 11:12
Als je de link in het artikel zou aanklikken en lezen, zou je er dit zien staan:

"
As of this writing, the repositories from which the malware first started spreading are either defunct (Bubbles) or no longer serving the malicious code (Gaia), however, unwitting victims who have the cryptominer installed on their devices are likely still affected. On top of that, the malware is still present in other repositories and some ready-made Kodi builds, most likely without the knowledge of their authors.
"
arjan1995 @mark-k15 september 2018 21:25
Kijk even bij Settings -> System information en dan hoeveel % CPU er gebruikt wordt. Als dit constant tegen de 100% ligt (en er worden geen packages geüpdate) dan is het waarschijnlijk dat je besmet bent. Ligt dit lager, dan waarschijnlijk (maar niet zeker!) niet.
mark-k @arjan199516 september 2018 00:57
Heb de eset scanner laten lopen en die vond niks geks (wel 50 "besmettingen" maar die kon ik allemaal verklaren als normale programma's), cpu en gpu gebruik is verder laag dus het zal wel goed zijn.
-SaveMe- 15 september 2018 13:47
Hoe kan ik controleren of mijn mediaplayer (Eminent 7680) geinfecteerd is? Volgens mij gebruikt die alleen de standaard repo ...
Chielllie 15 september 2018 11:10
Lekker minen op mijn Raspberry Pi... |:(
4Lph4Num3r1c @Chielllie15 september 2018 11:17
Ja ik denk dat de meerderheid van de apparaten die voor XBMC gebruikt worden, niet erg vlot zijn.

Dus ze zullen veel devices nodig hebben om iets te gaan verdienen...
Soldaatje @Chielllie15 september 2018 12:59
Maakt niet uit toch? Jij betaalt de stroom, de coins gaan naar de boefjes. Het kost ze niks.
sys64738 Moderator F&V @Chielllie15 september 2018 13:07
Nee het zal niet hard gaan op de low power devices die de meeste mensen oor Kodi gebruiken. Maar het gaat om de aantallen net als bij spam. Als je maar genoeg mensen infecteert/bereikt, wordt het vanzelf een keer interessant.
ToolBee 15 september 2018 10:50
Brein die Kodi gebruikers helpt? OK! :)
Christoxz @ToolBee15 september 2018 11:11
Waar baseer je dat op?
ToolBee @Christoxz15 september 2018 11:26
Door het artikel te lezen? Brein klaagt de makers van een besmet add-on pakket voor Kodi, waar illegaal films mee gekeken kan worden, aan en zorgt dat dit pakket niet meer te downloaden is. Kodi is op zich niet illegaal, maar het wordt er wel veel voor gebruikt.
Christoxz @ToolBee15 september 2018 12:21
omdat de softwarebibliotheek offline werd gehaald na een klacht van Brein vanwege copyrightinbreuk

Heeft dus niks te maken met dat deze besmet is, maar gewoon wat hun dagelijks doen. Snap niet waarom je dan denkt dat Brein, kodi gebruikers helpt.
Laat ik het zo zeggen, Brein boeit het geen flikker dat Kodi gebruikers besmet zijn geraakt door deze resp.

[Reactie gewijzigd door Christoxz op 23 juli 2024 18:26]

ToolBee @Christoxz15 september 2018 13:17
Ik zeg toch niet dat Brein dacht: "kom laten we iets leuks voor kodigebruikers doen". Nee. Door hun optreden, en de takedown van de plugin, voorkomen ze besmetting van kodisystemen. Zonder dat ze daar inderdaad op uit waren. Dat is hun job ook niet. Maar het komt nu wel zo uit. :) Ja?
Anoniem: 435630 @ToolBee15 september 2018 16:08
Heel veel mensen hier kennen het begrip sarcasme of een grapje niet.
ToolBee @Anoniem: 43563015 september 2018 22:54
*zucht* ;(
Idiocracy 15 september 2018 10:59
Dat krijg je ervan als je willekeurig repositories installeert welke zulke "mooie" beloftes geven. Eigen schuld.
Denk zelf een beetje na voordat je wat doet.

[Reactie gewijzigd door Idiocracy op 23 juli 2024 18:26]

Pepsichoco 15 september 2018 17:45
Ik vind Kodi op mijn nVidia Shield tv geweldig. Zonder extra's natuurlijk. Die extras bij Kodi heb je helemaal niet nodig. Je speelt een video met ondertitels af en klaar, wat heb je er nu nog meer bij nodig wat zo levensbelangrijk kan zijn ?
MrMonkE @Pepsichoco15 september 2018 20:36
Sommige vrienden van mij hebben het zo uitgepimpt met plugins dat ze live kunnen kijken naar zaken als NFL, MMA, NBA en noem het allemaal maar op. Ok TV series. Alles gestreamed. Teveel gedoe naar mijn smaak. Hail XBMP!
Anoniem: 533924 16 september 2018 15:03
Geldt dit alleen voor op Windows gebaseerde kodi systemen of ook voor op Linux gebaseerde kodi systemen? Want Linux ansich is toch niet vatbaar voor virussen etc, of heb ik dat mis?
Balder© @Anoniem: 53392417 september 2018 12:25
Alle systemen zijn vatbaar voor virussen. Het zit namelijk een beetje anders in elkaar. Doordat er "veeeel" meer Windows gebruikers zijn, zullen er ook "veeeel" meer virussen worden gemaakt voor het besturingssysteem Windows. Dit geldt bij mobiele telefoons net weer voor Android besturingssystemen. Stel dat iedereen opeens Linux of Apple zou gaan gebruiken ipv Windows, dan zul je ook veel meer virussen gaan vinden voor die besturingssystemen. Bij Apple is er al een stijging zichtbaar doordat er al wat meer mensen Apple zijn gaan gebruiken.
Anoniem: 221563 15 september 2018 11:17
Het is dan ook niet voor niets dat Kodi standaard géén addons uit onbetrouwbare bronnen accepteert. Dit is een keuze die de eindgebruiker bewust dient te maken. Kortom, valt in het straatje: vertrouw niet zomaar alles klakkeloos wat je download van het web.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq