V nedávné době se podařilo odhalit neoficiální doplňky populární multimediální platformy Kodi pro přehrávání audia a videa, které distribuovaly a instalovaly na zařízení běžící pod operačním systémem Windows a Linux software ke skryté těžbě kryptoměn.
Platforma Kodi jako taková neposkytuje žádný obsah, jde o přehrávač, jehož funkčnost mohou rozšiřovat oficiální i neoficiální doplňky. Ty druhé, šířené přes neoficiální zdroje, někdy umožňují uživatelům přístup k pirátskému obsahu, což z Kodi činí kontroverzní téma.
Malware obsažený v doplňcích Kodi má vícestupňovou architekturu a provádí cílená opatření za účelem znesnadnění detekce a zametení stop, které by mohly poukazovat na vazbu mezi finálním stupněm infekce – instalací software typu cryptominer a škodlivým Kodi doplňkem. Jak v systému Windows, tak v Linuxu tento malware těží kryptoměnu Monero (XMR). Cílení této hrozby i na jiné operačními systémy jako Android nebo MacOS nebylo doposud pozorováno.
Tři způsoby napadení uživatelů:
Mezi pěticí zemí nejvíce zasaženou touto hrozbou jsou Spojené státy, Izrael, Řecko, Spojené království a Nizozemsko. Zároveň jde o země, kde přes přehrávač Kodi podle neoficiální statistiky Kodi Addon Community Stats proudí touto platformou nejvíce dat. Vysvětlením může být i fakt, že pro tyto země existují specifické lokalizované verze Kodi obsahující odkaz na některé z napadených úložišť nebo uživatelské komunity z těchto zemí hojně využívaly napadená úložiště doplňků.
Od doby, kdy ESET upozornil na tento problém, byla úložiště, z nichž se začal malware šířit, buď vypnuta (Bubbles) nebo vyčištěna od škodlivého kódu (Gaia). I přesto nadále existují uživatelé, kteří mají cryptominer nainstalovaný na svých zařízeních a zůstávají tak nevědomými oběťmi této škodlivé kampaně. Kromě toho je malware stále přítomen i v dalších úložištích a některých komunitních Kodi sestaveních, s největší pravděpodobností bez vědomí jejich tvůrců.