Популярный клиент YouTube для Android TV оказался скомпрометирован: в обновление внедрили скрытую библиотеку для сбора данных

Проблема была обнаружена, когда система безопасности Google Play Protect начала массово блокировать приложение на устройствах пользователей, предупреждая об угрозе. Создатель SmartTube, Юрий Юлисков, вскоре подтвердил факт компрометации. По его словам, ключи были украдены в конце прошлой недели, что привело к попаданию чужеродного кода в одну из публичных сборок.

Технический анализ скомпрометированной версии 30.51 выявил наличие скрытой нативной библиотеки "libalphasdk.so", которой нет в официальном репозитории исходного кода. Юлисков прямо заявил, что эта библиотека не имеет отношения ни к его коду, ни к легитимным SDK, и ее появление выглядит крайне подозрительным. Детекты на платформе VirusTotal также указывают на потенциальную вредоносность этого файла.

Согласно углубленному исследованию, внедренная библиотека функционирует скрытно, без каких-либо видимых пользователю действий. Прежде всего, она собирает цифровой отпечаток устройства, включая модель, производителя, версию Android и данные о сетевом подключении. Затем эти данные передаются на удаленный сервер для регистрации устройства. После этого библиотека устанавливает постоянное фоновое соединение, периодически отправляя телеметрию и получая конфигурации по зашифрованному каналу.

Интересно, что для сетевой коммуникации код использует собственную реализацию, а в качестве точек контакта указаны легитимные домены Google, такие как "drive.google.com" и "dns.google". Этот метод, известный как злоупотребление доверенными сервисами, часто применяется для маскировки вредоносного трафика от систем обнаружения вторжений (IDS). Прямых доказательств кражи учетных данных или других деструктивных действий пока не найдено, однако потенциал для таких операций очевиден.

Разработчик оперативно отреагировал на инцидент. Он отозвал старую цифровую подпись и анонсировал выпуск новой, безопасной версии приложения под другим идентификатором. Юлисков призвал всех пользователей перейти на неё сразу после публикации. Временно он опубликовал тестовые сборки в Telegram-канале, однако их отсутствие в официальном репозитории GitHub пока вызвало дополнительную настороженность в сообществе.

Со стороны пользователей рекомендуется принять ряд защитных мер до выхода финального безопасного обновления. Специалисты советуют временно откатиться на старую, проверенную версию, например, 30.19, которую Play Protect не блокирует. Крайне важно отключить автоматические обновления для SmartTube в настройках системы. Кроме того, не следует входить в приложение под важными аккаунтами, особенно имеющими премиум-доступ.

В качестве дополнительной предосторожности стоит сменить пароль от аккаунта Google, который использовался на устройстве с уязвимой версией. Также полезно проверить консоль безопасности Google на предмет подозрительной активности и удалить недоверенные устройства или сервисы. Подобные инциденты напоминают о важности принципа нулевого доверия, особенно при использовании ПО из сторонних источников.

На данный момент остается неясным, сколько именно устройств было затронуто и как долго скомпрометированное обновление находилось в распространении. Юлисков пообещал предоставить полный технический разбор ситуации после публикации чистой версии в магазине F-Droid. До получения этих официальных разъяснений пользователям SmartTube следует проявлять максимальную осторожность. Этот случай ярко демонстрирует, что цепочка поставок программного обеспечения остается критически уязвимым звеном, а компрометация ключей подписи может иметь серьезные последствия даже для проектов с открытым исходным кодом.

SHA256

• 32643072f53d0924f6d54e9a467bab9c9083ec6014c2f8d939253bfda4d58c4b
• 63bb4b3ddfa723a2a8c82de026c71ee2d49e78f1634099b0f3c3b65ba8bf5cb7