SmartTube для Android TV скомпрометировали после кражи ключей подписи разработчика

Популярный открытый YouTube-клиент SmartTube для Android TV был скомпрометирован после того, как злоумышленник получил доступ к ключам подписи разработчика. Это привело к отправке пользователям вредоносного обновления.

О взломе стало известно, когда несколько пользователей сообщили, что встроенный антивирус Android Play Protect заблокировал SmartTube на их устройствах и предупредил их об угрозе.

Разработчик SmartTube Юрий Юлисков признал, что его цифровые ключи были украдены в конце прошлой недели, что привело к внедрению вредоносного ПО в приложение. Он отозвал старую подпись и заявил, что вскоре опубликует новую версию с отдельным идентификатором приложения, призвав пользователей перейти на неё.

SmartTube — один из самых часто скачиваемых сторонних YouTube-клиентов для Android TV, Fire TV Stick, Android TV Box и аналогичных устройств. Это бесплатный сервис с возможностью блокировать рекламу и хорошей производительностью на устройствах с низкой мощностью.

Пользователь при реверс-инжиниринге скомпрометированной версии SmartTube 30.51 обнаружил, что она включает скрытую нативную библиотеку libalphasdk.so. Она отсутствует в общедоступном исходном коде, поэтому внедряется в релизные сборки.

Библиотека работает в фоновом режиме без взаимодействия с пользователем, считывает данные с хост-устройства, регистрирует его на удалённом бэкенде, периодически отправляет метрики и извлекает конфигурацию по зашифрованному каналу связи.

Хотя нет никаких доказательств вредоносной активности, такой как кража аккаунтов или участие в DDoS-ботнетах, риск реализации такой активности высок. 

Юлисков объявил в Telegram о выпуске безопасных бета-версий и стабильных тестовых сборок, но они пока не попали в официальный репозиторий проекта на GitHub. Кроме