Tietoturvayhtiö ESET on havainnut haittakoodia seuraavissa ohjelmistolähteissä: Bubbles, Gaia sekä XvBMC. Kaikkien edellämainittujen lisäosahakemistojen epäillään rikkovan tekijänoikeuksia, mistä johtuen ne eivät ole tällä hetkellä saatavilla.

Jotkin lisäosahakemistojen sisältämistä lisäkkeistä kätkevät kryptovaluutan louhintaan tarkoitetun haittaohjelman, joka käyttää uhrikoneen suoritinresursseja rikollisten hyväksi.

Taustalla tapahtuvaa kryptovaluutan louhintaa voi olla vaikea havaita, mikäli se tapahtuu vaivihkaa käyttäen suoritinaikaa hyvin rajoitetusti. Eräs paljastavista tekijöistä on selittämätön suoritinkäytön kasvu, jolle ei vaikuta olevan näkyvää syytä. Myös tietoturvaohjelmiston käyttö on suositeltavaa.

ESETin tutkijat onnistuivat kaivamaan asiasta lisätietoa vain niukasti. Sen verran saatiin kuitenkin selville, että rikolliset louhivat skriptin avulla Monero-kryptovaluuttaa, ja uhreja epäillään olevan noin 4 700, enimmäkseen Yhdysvalloissa, Britanniassa, Kreikassa, Israelissa ja Hollannissa, joissa Kodi-ohjelmisto on suuressa suosiossa.

Kaikkiaan ESETillä arvioidaan rikollisten netonneen 62 Moneroa, jonka rahallinen arvo on noin 7000 dollaria.

Kodi toimii usealla eri alustalla, mutta nyt havaittu uhka koski vain ohjelmiston Windows- ja Linux-versioiden käyttäjiä.