Beveiligingsonderzoekers vinden malware in Kodi-add-ons

Verscheidene add-ons voor Kodi gemaakt door derden blijken malware te bevatten, zo ontdekten beveiligingsonderzoekers. Infectie zorgde ervoor dat er cryptominingsoftware werd geïnstalleerd op de Kodi-installatie.

Kodi v18 Leia

Dat melden beveiligingsonderzoekers van het bedrijf ESET. Op hun blog beschrijven zij hoe de malware werd ontdekt; de kwaadwillende software bleek in een Nederlandse softwarebibliotheek voor add-ons te zitten, met de naam XvBMC. Waarschijnlijk waren de makers van de bibliotheek hiervan niet op de hoogte, aldus ESET. Op het blog leggen de onderzoekers uit hoe de malware precies werkt en op Kodi-installaties terecht komt.

Inmiddels is XvBMC niet meer toegankelijk voor Kodi-gebruikers, omdat de softwarebibliotheek offline werd gehaald na een klacht van Brein vanwege copyrightinbreuk. De software, die werd verspreid via Github, is vorige maand offline gehaald, maar kon dus tot die tijd Kodi-gebruikers besmetten met de coinminingsoftware, iets dat waarschijnlijk december vorig jaar is begonnen.

Volgens de onderzoekers van ESET is de malware waarschijnlijk als eerste op het Kodi-platform verschenen via de repositories Bubbles en Gaia. Pas daarna werd ook XvBMC besmet. Omdat XvBMC door duizenden gebruikers is gedownload, zijn er potentieel veel besmettingen. ESET noemt geen precieze getallen, maar er zouden voornamelijk gebruikers getroffen zijn in Nederland, het Verenigd Koninkrijk, de Verenigde Staten, Israël en Griekenland. Inmiddels wordt de malware niet meer verspreid, maar zijn er mogelijk nog wel veel Kodi-gebruikers die de cryptominingsoftware op hun installatie hebben staan.

Door RoD

Forum Admin Mobile & FP PowerMod

15-09-2018 • 10:46

60

Submitter: player-x

Reacties (60)

60
56
33
4
1
12
Wijzig sortering
Als ze dan even vermelden wat je kan doen om de besmetting verwijderd te krijgen voor de mensen die die Add-ons gebruikt hebben...
Volgens het team achter de Gaia addon doe je dat zo:

The way to check if your infected is go to
From Kodi home screen click SYSTEM (cog wheel top right)>SYSTEM SETTINGS
Change settings level (bottom left) to ADVANCED or EXPERT>ADD-ONS
On the right select MANAGE DEPENDENCIES
Scroll down to simplejson right click on it and go to information and if you have version 3.4.1 you been compromised you need version 3.4.0 from kodi tv and install it instead .
Go to the Kodi hidden addon folder and delete script.module.python.requests

[Reactie gewijzigd door thimo1 op 23 juli 2024 18:26]

Anoniem: 1117499 @thimo118 september 2018 17:05
Ik heb versie 3.3.0 is dat ook goed?
Waarschijnlijk wel maar toch is het een goed idee om bij te werken naar de laatste versie. Als je hebt nu een repo hebt geïnstalleerd waar de besmett eversie in zit kan hij daar automatisch naar worden bijgewerkt omdat de besmette versie een hoger nummertje heeft.
Dit is niet zo makkelijk, ja het verwijderen is niet zo moeilijk maar jezelf beschermen tegen nieuwe infecties wel.
Voorzover ik weet, kan er dan nog steeds bij installatie of updaten van een plugin python code worden uitgevoerd, waardoor je gewoon weer met iets nieuws geinfecteerd kunt worden.
Verzamelrepo's zonder duidelijk doel van de beheerders ervan zijn in principe verdacht. Wanneer je een repo start met de meest populaire plugins en daar vervolgens howto's voor online gaat zetten die verwijzen naar jouw handige repo die alle populaire plugins bevat, zullen er veel zijn die voor je repo kiezen, want het is lekker makkelijk en niet voor iedere nieuwe plugin hoeft er weer een repo toegevoegd te worden. Daarbij volgen veel gebruikers howto's klakkeloos en zonder er verder bij na te denken dat degene die de howto plaatst, het ook wel eens minder goed met je voor kan hebben.

Nu na een tijdje plaats je een update voor een module die door veel plugins gebruikt wordt in de repo, alleen is deze update voorzien van python code die er niet in thuis hoort.
Dan heb je vrij direct een groot botnet of een cryptominer met vele kleintjes die samen een grote maakt.

Automatische pluginupdates uitschakelen in Kodi en voor updaten eerst de updates nakijken is voorzover ik zie de enige optie. Ik ben begin dit jaar zelf "slachtoffer" geweest van deze cryptominer en niet zomaar repo's installeren en automatische updates uitschakelen is wat ik ertegen gedaan heb.
Bij mij was het een desktop die plots een core 100% ging verbruiken. Wanneer ik top of htop startte, schakelde de miner zich snel uit. Op een raspberry pi of mediabox zal het waarschijnlijk niet snel opvallen. Ik was nog blij dat het enkel een cryptominer betrof, want ik realiseerde mijzelf maar al te goed wat er nog meer had kunnen gebeuren en hoe kinderlijk gemakkelijk het is om dit uit te buiten.

[Reactie gewijzigd door Mathijs op 23 juli 2024 18:26]

De versie is ondertussen een cleane v3.4.2 die de eventuele aanwezige malicious 3.4.1 vervangt
Als je systeem gecompromitteerd is dan is er over het algemeen maar 1 oplossing om zeker te zijn dat alles weg is en dat is schijf wissen en een schone installatie doen van alles.
Dat zeggen veel anderen ook, maar ik vind dat juist de meest onveilige oplossing omdat er vaak vrijwel direct met de schone installatie begonnen wordt.
Als zoiets bij mij gebeurt wil ik weten hoe, wat en waar. Wanneer ik dat weet kan ik een afweging maken wat er nodig is.
Ook weet ik dan wanneer ik wel opnieuw zou installeren, dat ik niet dezelfde fout maak of dezelfde kwetsbaarheid weer open heb staan.
Je kunt ook beter je uitspraak veranderein van "Als je systeem gecompromitterd is" naar "wanneer je weet dat je systeem gecompromitteerd is" en daar zit ook direct de crux.
Na het bekend worden van een lek in iets dat je gebruikt kun je anders wel iedere keer herinstalleren, aangezien je niet weet of het bij jou al uitgebuit is.
Dit is natuurlijk het gevolg van de open access structuur van dit soort software. Er is blijkbaar niemand die de addons inspecteert als derde partij. Eigenlijk moet dat worden ingebouwd, dat derde partijen deze addons inspecteren en releasen. Het is open source dus de broncode is vrijgegeven en door iedereen te inspecteren. Maar ja, als vervolgens niemand dat doet ....
Kodi bied zijn eigen repo aan waar je met gerust hart de addons kunt installeren. Addons van derde staan standaard gedeactiveerd, juist voor dit soort taferelen.

Kodi zelf heeft dus ook controle over wat wel of niet in hun repo verschijnt. Addons die copyright omzeilt komen er bijvoorbeeld niet in.
De ontwikkelaars van CoreELEC vonden het een goed idee om die standaard check/waarschuwing binnen Kodi te omzeilen. Na wat heen-en-weer gescheld overleg is dat weer teruggedraaid.

[Reactie gewijzigd door Klojum op 23 juli 2024 18:26]

Een fork van LibreELEC, wat een fork is van OpenELEC... blijkbaar is het forken van een project dé methode om een meningsverschil op te lossen in die kringen, maar voor de eindgebruiker wordt het er zo niet duidelijker op :')
Als ontwikkelaars zichzelf als 'supreme being' zien met hun eigen opvatting als leidend en onfeilbaar, dan mogen ze van mij een een fork van LibreELEC maken.

De fork van OpenELEC was gewoon noodzakelijk doordat er geen enkele vorm communicatie meer mogelijk was met de projectleider, en de boel op de klippen liep.

[Reactie gewijzigd door Klojum op 23 juli 2024 18:26]

Ingebouwd worden door wie? kodi is hier niet verantwoordelijk voor.
Ingebouwd door de community. Er lijkt me best prima iets te verzinnen met door de community beheerde repositories.
Dat is al zo dit was niet het officiële repo.
ja op zich wel.
Maar daar op ga je nooit die stream mogelijkheden die vergelijkbare en groter bibliotheken dan netflix bieden vinden.
Dus mensen nemen "bewust" het risico door deze repo's te installeren.

Het is open source, dus iedereen kan het nakijken.
Maar niet iedereen kan dit, en gezien de hoeveelheid content zal er altijd iets doorheen glippen.

Wat je wel zou kunnen stellen is dat de samensteller van de repo zorg draagt voor de integriteit van de addons.
En wie controleert dan deze open community 3rd party?
Dat je de broncode vrij is van malware betekent nog steeds niet dat de binaries die worden vrijgegeven geen kwaadaardige code bevat. En hoeveel mensen compilen de add-ons nou zelf.
strict gezien zou dit kunnen, praktisch gezien hebben de buildservers een 1:1 koppeling met de repository waar deze opensource code in staat. Zoals in het geval van kodi zelf beheerde binairies.
Dan kan nog altijd de compiler op de buildserver gecompromitteerd zijn.
Tuurlijk... maar daar ging het niet over en daarop kun je ook maatregelen nemen.
En dan nog, Ken Thompson zag dit decennia geleden al. Echt veilig bestaat helaas niet en je ontkomt niet aan een 'circle of trust'
Er is onderzoek gedaan, het is ontdekt, er is dus 'controle'. ;)
Als het niet vaak mis gaat, wie gaat dan de moeite nemen om hier in te investeren? De gebruiker lijkt geen moeite met het risico te hebben. De ontwikkelaars niet en de distributie niet. Kennelijk wegen de kosten nog niet op tegen het risico wat ze willen accepteren.
Nee. Controle is structureel. Deze mining addons zijn er doorgeglipt doordat er geen controle was.
Kodi is free software dus kosten zijn geen issue. In de free softwarewereld wordt ook om niet ontwikkeld.

Waar het om gaat bij Kodi en deze ongecontroleerde repositories is dat er vaak addons worden aangeboden waarmee je 'illegale' dingen kunt doen die je niet legaal kunt doen omdat de mogelijkeid er niet is. Helaas is er onvoldoende WIL om die oplossingen betaalbaar legaal te maken. Je zou bijv. als buma/stemra ook een gecertificeerde addon kunnen uitbrengen die per minuut gestreamde film een eurocent rekent. Dan betaal je 1 a 2 euro per bekeken film en je legatimiseert daarmee het streamen. Van de opbrengst compenseer je voor een deel de hosters en een deel gebruik je voor copyright. Dan ben je bezig met het uitvoeren van je werk als Buma/Stemra of MPAA of andere copyrightclub

Als ik nu The Lord of The Rings trilogie wil bekijken, die ik in de bioscoop al heb gezien, betaal ik minimaal 25 euro en dan moet ik ze bestellen op DVD zodat ik nu niet kan kijken. Heel veel films zijn niet eens meer verkrijgbaar op DVD of met heel veel moeite en die zijn er wel via torrents. Misschien is er wel ergens een streamalternatief maar die zijn allemaal verspreid en daar moet ik naar zoeken voor iedere film apart. Met voorgestelde addon betaal ik 6 euro en kan ik gelijk beginnen met kijken. Als een paar euro nou naar de hoster gaat, kan die de opslag bekostigen en deze technologie betalen.

Maar zoals ik al zei, men wil dat blijkbaar niet. En dus is voor velen nu de enige oplossing, een VPN en een illegale KODI addon.
Maar ja, als vervolgens niemand dat doet
wat denk je dat het onderwerp van dit artikel is? ;)

je kan moeilijk verwachten dat elke (plugin van) open source software eerst wordt gepeerreviewed (spelling?) vooraleer het wordt vrijgegeven
Niet echt, domweg alles wat veel gebruikt wordt en populair is zal dit soort praktijken aantrekken. Wat zou het nut anders zijn van een Malware schrijven?
De code die actief wordt ontwikkeld wordt nagekeken door verschillende programmeurs en partijen, er vanuit gaande dat diegenen geen Malware willen, voorkom je dit dus juist eerder.
Zodra je software van derden gaat gebruiken, dan zet je deur letterlijk open voor dit soort praktijken. Hoe dan ook, dit was best vlot ontdekt.

Een ander goed voorbeeld onlangs was Acrobat Reader op Arch Linux, uit hun AUR repositories. Iemand had zichzelf eigenaar gemaakt van dat pakket en malware geplaatst. Heel wat systemen hebben die update klakkeloos geïnstalleerd.
https://www.bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository/

Kortom, zelf opletten en lezen. Ik installeer nooit automatisch updates, ook omdat ik het soms niet eens ben met aanpassingen.
XvBMC repo heb ik niet, maar Gaia wel, is de kans dan groot dat ik toch besmet ben?
Als je de link in het artikel zou aanklikken en lezen, zou je er dit zien staan:

"
As of this writing, the repositories from which the malware first started spreading are either defunct (Bubbles) or no longer serving the malicious code (Gaia), however, unwitting victims who have the cryptominer installed on their devices are likely still affected. On top of that, the malware is still present in other repositories and some ready-made Kodi builds, most likely without the knowledge of their authors.
"
Kijk even bij Settings -> System information en dan hoeveel % CPU er gebruikt wordt. Als dit constant tegen de 100% ligt (en er worden geen packages geüpdate) dan is het waarschijnlijk dat je besmet bent. Ligt dit lager, dan waarschijnlijk (maar niet zeker!) niet.
Heb de eset scanner laten lopen en die vond niks geks (wel 50 "besmettingen" maar die kon ik allemaal verklaren als normale programma's), cpu en gpu gebruik is verder laag dus het zal wel goed zijn.
Hoe kan ik controleren of mijn mediaplayer (Eminent 7680) geinfecteerd is? Volgens mij gebruikt die alleen de standaard repo ...
Lekker minen op mijn Raspberry Pi... |:(
Ja ik denk dat de meerderheid van de apparaten die voor XBMC gebruikt worden, niet erg vlot zijn.

Dus ze zullen veel devices nodig hebben om iets te gaan verdienen...
Maakt niet uit toch? Jij betaalt de stroom, de coins gaan naar de boefjes. Het kost ze niks.
Nee het zal niet hard gaan op de low power devices die de meeste mensen oor Kodi gebruiken. Maar het gaat om de aantallen net als bij spam. Als je maar genoeg mensen infecteert/bereikt, wordt het vanzelf een keer interessant.
Brein die Kodi gebruikers helpt? OK! :)
Waar baseer je dat op?
Door het artikel te lezen? Brein klaagt de makers van een besmet add-on pakket voor Kodi, waar illegaal films mee gekeken kan worden, aan en zorgt dat dit pakket niet meer te downloaden is. Kodi is op zich niet illegaal, maar het wordt er wel veel voor gebruikt.
omdat de softwarebibliotheek offline werd gehaald na een klacht van Brein vanwege copyrightinbreuk

Heeft dus niks te maken met dat deze besmet is, maar gewoon wat hun dagelijks doen. Snap niet waarom je dan denkt dat Brein, kodi gebruikers helpt.
Laat ik het zo zeggen, Brein boeit het geen flikker dat Kodi gebruikers besmet zijn geraakt door deze resp.

[Reactie gewijzigd door Christoxz op 23 juli 2024 18:26]

Ik zeg toch niet dat Brein dacht: "kom laten we iets leuks voor kodigebruikers doen". Nee. Door hun optreden, en de takedown van de plugin, voorkomen ze besmetting van kodisystemen. Zonder dat ze daar inderdaad op uit waren. Dat is hun job ook niet. Maar het komt nu wel zo uit. :) Ja?
Heel veel mensen hier kennen het begrip sarcasme of een grapje niet.
Dat krijg je ervan als je willekeurig repositories installeert welke zulke "mooie" beloftes geven. Eigen schuld.
Denk zelf een beetje na voordat je wat doet.

[Reactie gewijzigd door Idiocracy op 23 juli 2024 18:26]

Ik vind Kodi op mijn nVidia Shield tv geweldig. Zonder extra's natuurlijk. Die extras bij Kodi heb je helemaal niet nodig. Je speelt een video met ondertitels af en klaar, wat heb je er nu nog meer bij nodig wat zo levensbelangrijk kan zijn ?
Sommige vrienden van mij hebben het zo uitgepimpt met plugins dat ze live kunnen kijken naar zaken als NFL, MMA, NBA en noem het allemaal maar op. Ok TV series. Alles gestreamed. Teveel gedoe naar mijn smaak. Hail XBMP!
Anoniem: 533924 16 september 2018 15:03
Geldt dit alleen voor op Windows gebaseerde kodi systemen of ook voor op Linux gebaseerde kodi systemen? Want Linux ansich is toch niet vatbaar voor virussen etc, of heb ik dat mis?
Alle systemen zijn vatbaar voor virussen. Het zit namelijk een beetje anders in elkaar. Doordat er "veeeel" meer Windows gebruikers zijn, zullen er ook "veeeel" meer virussen worden gemaakt voor het besturingssysteem Windows. Dit geldt bij mobiele telefoons net weer voor Android besturingssystemen. Stel dat iedereen opeens Linux of Apple zou gaan gebruiken ipv Windows, dan zul je ook veel meer virussen gaan vinden voor die besturingssystemen. Bij Apple is er al een stijging zichtbaar doordat er al wat meer mensen Apple zijn gaan gebruiken.
Anoniem: 221563 15 september 2018 11:17
Het is dan ook niet voor niets dat Kodi standaard géén addons uit onbetrouwbare bronnen accepteert. Dit is een keuze die de eindgebruiker bewust dient te maken. Kortom, valt in het straatje: vertrouw niet zomaar alles klakkeloos wat je download van het web.

Op dit item kan niet meer gereageerd worden.