Cílení této hrozby na operačními systémy Android nebo MacOS nebylo doposud pozorováno.

Platforma Kodi jako taková neposkytuje žádný obsah, jde o přehrávač, jehož funkčnost mohou rozšiřovat oficiální i neoficiální doplňky. Ty druhé, šířené přes neoficiální zdroje, někdy umožňují uživatelům přístup k pirátskému obsahu, což z Kodi činí kontroverzní téma.

Malware obsažený v doplňcích Kodi má vícestupňovou architekturu a provádí cílená opatření za účelem znesnadnění detekce a zametení stop, které by mohly poukazovat na vazbu mezi finálním stupněm infekce – instalací software typu cryptominer a škodlivým Kodi doplňkem. Jak v systému Windows, tak v Linuxu tento malware těží kryptoměnu Monero (XMR). Cílení této hrozby i na jiné operačními systémy jako Android nebo MacOS nebylo doposud pozorováno.

Tři způsoby napadení uživatelů:

1. Uživatel si sám přidá URL napadeného úložiště do přehrávače Kodi při instalaci nějakého doplňku vytvořeného třetí stranou. Škodlivý doplněk se poté nainstaluje kdykoliv, kdy třetí strana aktualizuje své doplňky.
2. Uživatel si nainstaluje do zařízení předpřipravenou sestavu Kodi a doplňků, která již obsahuje URL napadeného úložiště. Škodlivý doplněk se poté nainstaluje kdykoliv, kdy dojde k aktualizaci sestavy doplňků.
3. Uživatel si nainstaluje do zařízení předpřipravenou sestavu Kodi a doplňků, která již obsahuje škodlivý doplněk i bez odkazu na napadené úložiště. Tito uživatelé jsou díky modifikovanému doplňku ohroženi hned od počátku. A i když nedojde k další aktualizaci doplňku, cryptominer je instalován a schopen přijímat další aktualizace sám.

Mezi pěticí zemí nejvíce zasaženou touto hrozbou jsou Spojené státy, Izrael, Řecko, Spojené království a Nizozemsko. Zároveň jde o země, kde přes přehrávač Kodi podle neoficiální statistiky Kodi Addon Community Stats proudí touto platformou nejvíce dat. Vysvětlením může být i fakt, že pro tyto země existují specifické lokalizované verze Kodi obsahující odkaz na některé z napadených úložišť nebo uživatelské komunity z těchto zemí hojně využívaly napadená úložiště doplňků.

Od doby, kdy jsme za ESET upozornili na tento problém, byla úložiště, z nichž se začal malware šířit, buď vypnuta (Bubbles) nebo vyčištěna od škodlivého kódu (Gaia). I přesto nadále existují uživatelé, kteří mají cryptominer nainstalovaný na svých zařízeních a zůstávají tak nevědomými oběťmi této škodlivé kampaně. Kromě toho je malware stále přítomen i v dalších úložištích a některých komunitních Kodi sestaveních, s největší pravděpodobností bez vědomí jejich tvůrců.