Известный опенсорсный YouTube-клиент для ТВ-приставок взломали. Разработчик популярного приложения SmartTube сообщил о компрометации своих ключей подписи, что позволило злоумышленникам внедрить малварь в официальное обновление.
SmartTube популярен среди владельцев Android TV, стиков Fire TV и других ТВ-приставок. Бесплатное приложение с открытым исходным кодом привлекает пользователей возможностью блокировки рекламы и стабильной работой даже на маломощных устройствах. Именно эти качества сделали его одним из наиболее скачиваемых сторонних YouTube-клиентов для телевизионных платформ.
О происходящем стало известно после массовых жалоб пользователей в конце прошлой недели: встроенная в Android система защиты Play Protect начала блокировать SmartTube на устройствах и предупреждать об угрозе. Точное количество пострадавших от этой атаки пользователей неизвестно.
Энтузиасты, изучившие зараженную версию приложения (30.51), выявили присутствие подозрительной библиотеки libalphasdk.so, которая отсутствует в публичном исходном коде проекта. Разработчик SmartTube Юрий Юлисков пишет, что этот компонент не является частью его проекта и не относится ни к одному из используемых инструментов.
Вредоносная библиотека работает скрытно, без какого-либо взаимодействия с пользователем. Она собирает информацию об устройстве, регистрирует его на удаленном сервере и периодически обменивается данными через зашифрованное соединение. При этом никаких видимых признаков активности пользователь не замечает.
Хотя пока не зафиксировано случаев кражи аккаунтов или использования зараженных устройств в составе ботнетов, потенциальная опасность остается высокой. Исследователи предупредили, что архитектура обнаруженной ими малвари позволяет злоумышленникам активировать дополнительные функции удаленно.
Юлисков сообщает, что оперативно отозвал скомпрометированные ключи подписи и пообещал в ближайшее время выпустить новую версию приложения с новым ID, и призвал пользователей как можно скорее перейти на нее. В своем Telegram-канале он уже анонсировал безопасную бета-версию и стабильную тестовую сборку.
Как отмечает издание Bleeping Computer, отсутствие детальной информации о произошедшем вызвало определенное недоверие в сообществе. Однако разработчик заверил, что опубликует полный разбор инцидента после публикации нового релиза в магазине приложений F-Droid.
Пока пользователям SmartTube рекомендуется принять ряд мер предосторожности. В частности, следует остаться на проверенных старых версиях приложения (по некоторым данным, версия 30.19 считается безопасной, так как Play Protect ее не блокирует) и обязательно отключить автоматическое обновление приложения до выхода «чистой» версии.
Тем, кто успел установить вредоносное обновление, рекомендуется сменить пароли от Google-аккаунтов, внимательно проверить историю активности и удалить любые подозрительные сервисы. Также специалисты советуют воздержаться от входа в премиум-аккаунты через приложение до полного решения проблемы.
В настоящее время остается неясным, когда и как именно произошла компрометация и какие конкретно версии приложения были заражены.
