- Ключи подписи разработчика SmartTube были украдены, что привело к распространению вредоносного обновления приложения.
- Вредоносная версия включала скрытую библиотеку, которая собирала данные устройства и взаимодействовала с удалённым сервером.
- Разработчик отозвал скомпрометированные ключи и выпустил обновления с новыми подписями, рекомендовав пользователям использовать старые безопасные версии и отключать автообновления.
Популярный сторонний YouTube-клиент SmartTube, используемый на устройствах Android TV, Fire TV Stick и прочих платформах, подвергся серьёзному инциденту безопасности. Злоумышленники получили доступ к ключам цифровой подписи приложения, что позволило им выпустить вредоносное обновление, которое позже было распространено среди пользователей.
Об инциденте стало известно после того, как встроенная система защиты Android — Play Protect — начала блокировать приложение и предупреждать пользователей об угрозе. Анализ скомпрометированной версии SmartTube 30.51 выявил наличие скрытой нативной библиотеки libalphasdk.so, отсутствующей в исходном коде проекта. Эта библиотека работает в фоновом режиме, считывая информацию с устройства, регистрируя его на удалённом сервере и передавая метрики через зашифрованное соединение.
Хотя прямых доказательств кражи аккаунтов пользователей или участия устройств в DDoS-атаках обнаружено не было, риск реализации подобных действий остаётся значительным. Разработчик SmartTube Юрий Юлисков подтвердил кражу своих цифровых ключей и быстро отозвал скомпрометированные подписи. В ответ он выпустил бета-версии с новым идентификатором приложения и новыми ключами, призвав пользователей перейти на более безопасную версию.
Пока обновления с исправлениями не появились в официальном репозитории проекта на GitHub, Юлисков порекомендовал продолжать пользоваться проверенными старшими сборками SmartTube, отключить автоматические обновления и по возможности не использовать премиум-учётные записи для входа в приложение. Некоторые пользователи отметили, что версия 30.19, по-прежнему не определяется Play Protect как угроза, и может использоваться как безопасная альтернативная сборка.
Специалисты также советуют всем, кто использовал скомпрометированную версию, сменить пароли аккаунтов Google, проверить активность учётных записей на предмет подозрительных действий, а в случае необходимости удалить подключённые сторонние сервисы.
По словам Юлискова, заражение произошло из-за вредоносного ПО на его компьютере разработчика, которое внедрялось в сборки начиная с версии 30.43. Проблема была выявлена только в конце ноября, после чего он оперативно провёл очистку системы и смену ключей. В версии 30.55 и новее используется полностью новый ключ, что обеспечивает безопасность приложения на текущий момент.
Инцидент подчёркивает важность защиты ключей подписи и постоянного мониторинга безопасности даже в проектах с открытым исходным кодом, особенно когда приложение имеет широкую аудиторию и доступ к пользовательским данным.
