Популярный открытый YouTube-клиент SmartTube для Android TV был скомпрометирован после того, как злоумышленник получил доступ к ключам подписи разработчика. Это привело к отправке пользователям вредоносного обновления.

О взломе стало известно, когда несколько пользователей сообщили, что встроенный антивирус Android Play Protect заблокировал SmartTube на их устройствах и предупредил их об угрозе.

Разработчик SmartTube Юрий Юлисков признал, что его цифровые ключи были украдены в конце прошлой недели, что привело к внедрению вредоносного ПО в приложение. Он отозвал старую подпись и заявил, что вскоре опубликует новую версию с отдельным идентификатором приложения, призвав пользователей перейти на неё.

SmartTube — один из самых часто скачиваемых сторонних YouTube-клиентов для Android TV, Fire TV Stick, Android TV Box и аналогичных устройств. Это бесплатный сервис с возможностью блокировать рекламу и хорошей производительностью на устройствах с низкой мощностью.

Пользователь при реверс-инжиниринге скомпрометированной версии SmartTube 30.51 обнаружил, что она включает скрытую нативную библиотеку libalphasdk.so. Она отсутствует в общедоступном исходном коде, поэтому внедряется в релизные сборки.

Библиотека работает в фоновом режиме без взаимодействия с пользователем, считывает данные с хост-устройства, регистрирует его на удалённом бэкенде, периодически отправляет метрики и извлекает конфигурацию по зашифрованному каналу связи.

Хотя нет никаких доказательств вредоносной активности, такой как кража аккаунтов или участие в DDoS-ботнетах, риск реализации такой активности высок. 

Юлисков объявил в Telegram о выпуске безопасных бета-версий и стабильных тестовых сборок, но они пока не попали в официальный репозиторий проекта на GitHub. Кроме того, разработчик не предоставил полной информации о произошедшем инциденте. Юлисков лишь пообещал ответить на все вопросы после публикации финальной версии нового приложения в магазине F-Droid.

Пока же пользователям рекомендуется использовать старые, заведомо безопасные сборки, избегать входа с премиум-аккаунтами и отключить автоматические обновления. Один юзер сообщил, что Play Protect не помечает версию 30.19, поэтому она выглядит безопасной.

Пострадавшим же рекомендуется сбросить пароли своих аккаунтов Google, проверить консоль учётной записи на наличие несанкционированного доступа и удалить незнакомые сервисы.

В ответ на запрос BleepingComputer Юлисков сообщил: «Некоторые старые сборки, появившиеся на GitHub, были непреднамеренно скомпрометированы из-за вредоносного ПО, присутствовавшего на моём компьютере для разработки во время их создания. Как только я заметил проблему в конце ноября, я немедленно удалил данные из системы и очистил окружение, включая репозиторий GitHub. Я узнал о проблеме с вредоносным ПО около версии 30.47, но, как сообщали пользователи в последнее время, она началась где-то с версии 30.43. Таким образом, насколько я понимаю, скомпрометированы версии 30.43–30.47. После очистки среды было выпущено несколько сборок с использованием предыдущего ключа (подготовленного на чистой системе), но, начиная с версии 30.55, я перешёл на новый ключ для полной безопасности. Различия в хешах для версии 30.47 Stable v7a, вероятно, являются результатом попыток восстановить эту сборку после очистки заражённой системы».