ESET araştırmacıları, popüler açık kaynak kodlu medya oynatıcısı Kodi’ye yönelik bazı harici eklentilerin, Linux ve Windows üzerinde kripto para madenciliği yapan zararlı yazılımları dağıtmak üzere kullanıldığını tespit etti.
Kodi kullanıyorsanız, harici eklentilerin depolandığı Hollandalı XvBMC’nin yakın zamanda telif hakkı uyarıları nedeniyle kapatıldığını fark etmişsinizdir. Kapatılmasını takiben, deponun Aralık 2017’ye kadar uzanan bir süreçte, muhtemelen bilinmeden kötü amaçlı bir kripto madenciliği kampanyasının bir parçası olduğunu keşfettik. Bu, Kodi eklentileri ölçeğinde herkesçe bilinen ikinci zararlı yazılım dağıtım işlemi ve Kodi platformu üzerinden gerçekleştirilmiş ilk bilinen kripto para madenciliği kampanyasıdır. İlginç bir şekilde, bu kampanya Linux veya Windows’a özgü ikili dosyalarını ilgili işletim sistemlerindeki Kodi kullanıcılarına gönderir.
Kodi platformuna aşina olmayanlar için, popüler medya oynatıcı yazılımı herhangi bir içerik sağlamaz. Ancak kullanıcılar hem resmi Kodi deposunda, hem de çok sayıdaki harici depolarda bulunan çeşitli eklentileri yükleyerek yazılımın işlevselliğini genişletebilirler. Bazı üçüncü parti eklentilerin kullanıcıların korsan içeriğe erişmesine izin vermesi, Kodi hakkında tartışmalara neden oldu.
Son zamanlarda, telif hakkı ihlaline neden olan eklentiler de kullanıcıları kötü amaçlı yazılımlara maruz bırakmakla suçlanıyor. Ancak bir DDoS modülünün popüler bir harici Kodi eklentisine dahil edildiği bir olay dışında, şu ana dek Kodi yoluyla kötü amaçlı yazılım dağıtıldığına dair bir kanıt bulunmamaktaydı.
Araştırmamıza göre, XvMBC deposunda bulduğumuz kötü amaçlı yazılım, ilk olarak Aralık 2017 ve Ocak 2018’de popüler üçüncü parti eklentiler olan Bubbles ve Gaia (Bubbles’ın bir türevi) depolarına eklenmiştir. Bu iki kaynaktan gelen ve diğer üçüncü parti depolama eklentilerinden şüphelenmeyen kullanıcıların güncelleme rutinleriyle kullanıma hazır durumda bulunan Kodi sürümleri, zararlı yazılımın Kodi ekosisteminde daha da yayılmasına neden olmuştur.
Kötü amaçlı yazılım çok aşamalı bir mimariye sahiptir ve nihai yükü olan “cryptominer”‘ın izinin zararlı eklentiye kadar takip edilememesi için çeşitli önlemler alır. Cryptominer, Windows ve Linux üzerinde çalışır ve kripto para birimi Monero (XMR) madenciliği yapar. Henüz Android veya MacOS cihazlarını hedefleyen bir sürüm görmedik.
Bu kampanyanın kurbanları, yasadışı kripto madencisini üç şekilde çalıştırıyor:
1. Bazı eklentiler indirebilmek için, zararlı bir deponun URL adresi Kodi yüklemelerine eklenir. Daha sonra Kodi eklentileri güncellendiğinde zararlı eklenti de yüklenmiş olur.
2. Zararlı deponun URL adresini içeren hazır bir Kodi sürümü yüklerler. Daha sonra Kodi eklentileri güncellendiğinde zararlı eklenti de yüklenmiş olur.
3. Zararlı eklentiyi içeren hazır bir Kodi sürümü yüklerler fakat içerisinde depolama güncellemeleri için bir bağlantı yer almaz. Zararlı eklenti için bir güncelleme yapılmasa da, sisteme başlangıç aşamasında sızılmış olur. Ancak cryptominer yüklendikten sonra, sürekli olarak güncelleme alacaktır.
ESET’in uzaktan ölçüm verilerine göre bu tehditten en fazla etkilenen beş ülke ABD, İsrail, Yunanistan, İngiltere ve Hollanda’dır. Bu da, belirtilen ülkelerin yakın zamanda yayınlanan Resmi Olmayan Kodi Eklenti Topluluğu İstatistikleri listesindeki “en çok trafiğe sahip olan ülkeler” olmaları nedeniyle şaşırtıcı değildir. Coğrafi dağıtımlar için yapılabilecek diğer olası açıklamalar, her bir ülkeye özgü Kodi sürümlerinin bulundurduğu zararlı depolar ya da o ülkeye özgü kullanıcı verilerini içeren, yukarıda da bahsedilen Hollandalı XvBMC gibi zararlı depolar olabilir.
Bu yazının ardından, kötü amaçlı yazılımın yayılmaya başladığı depolar ya geçersiz hale gelmiştir (Bubbles) ya da artık kötü amaçlı kodlara (Gaia) hizmet etmemektedir; ancak cihazlarında cryptominer yüklü olduğunun farkında olmayan kurbanlar bundan hâlâ etkilenmektedir. Bunun da ötesinde, kötü amaçlı yazılımlar hâlâ diğer arşivlerde ve bazı hazır Kodi yapılarında, muhtemelen yazarlarının dahi bilgisi olmadan varlıklarını sürdürmektedirler.
