Популярное стороннее приложение SmartTube, позволяющее смотреть видео с YouTube на телевизорах и приставках под управлением Android без рекламы, столкнулось с серьёзным инцидентом информационной безопасности. Как выяснилось, произошла утечка ключа цифровой подписи, используемого для сборки приложения. Злоумышленники, получившие доступ к ключу, смогли внедрить в официальные сборки скрытую вредоносную библиотеку.
Описание
Первыми тревожными сигналами для сообщества стали предупреждения системы Play Protect на устройствах пользователей, которые начали блокировать установленное приложение. Разработчик, известный под ником yuliskov, оперативно подтвердил факт компрометации ключа подписи. В официальном уведомлении он сообщил, что в сборку попала сторонняя библиотека, выполняющая нежелательные действия.
Анализ, проведённый пользователями, показал, что проблема затрагивает версию приложения 30.51. В её составе был обнаружен скрытый модуль с именем "libalphasdk.so", отсутствующий в публично доступном исходном коде проекта. Эксперты предполагают, что библиотека была добавлена на этапе финальной сборки релиза. Данный модуль работает в фоновом режиме без ведома пользователя, периодически собирая информацию с устройства и передавая её по зашифрованному каналу связи.
Важно отметить, что на текущий момент не обнаружено признаков активного вредоносного поведения, такого как участие устройства в ботнете для DDoS-атак. Однако потенциальный риск заключается в том, что подобный функционал может быть активирован удалённо в будущем. Расследование показало, что заражённые сборки появились примерно месяц назад. Вредоносный компонент присутствует в приложении, начиная с версии 30.27, что подтверждается историей тегов в репозитории проекта на GitHub.
В ответ на инцидент разработчик предпринял ряд экстренных мер. Было принято решение об отзыве скомпрометированного ключа подписи и генерации нового. Для полного разграничения старых и новых сборок также изменён идентификатор приложения. Обновлённая, чистая версия SmartTube с новой подписью была опубликована 2 декабря 2025 года. Информация о необходимых действиях была доведена до пользователей через Telegram-канал проекта.
Ситуация усугубляется тем, что SmartTube распространяется вне официальных магазинов приложений, таких как Google Play. Следовательно, процесс установки и обновления часто требует от пользователей выполнения дополнительных ручных шагов. В сети можно найти множество инструкций по инсталляции приложения, что повышает риски. Обычному пользователю может быть крайне сложно визуально отличить легитимную новую сборку от старой, собранной с утекшим ключом.
В связи с этим основная рекомендация для всех пользователей SmartTube - полностью удалить текущую установленную версию приложения. После этого необходимо загрузить и установить актуальную сборку только из официального источника, которым является GitHub-репозиторий разработчика. Следует проявлять особую бдительность и избегать загрузки APK-файлов со сторонних сайтов и форумов. Данный инцидент служит напоминанием о рисках, связанных с использованием программного обеспечения из неофициальных источников, даже если оно создано с благими намерениями, такими как блокировка рекламы.
Индикаторы компрометации
MD5
- 0ba2cc482828aff5eab9dcfd66b769e3
- 0c3bec3debae6bfba4104748beabdb56
- 0ee8e0f0cb8db222ee021a1da9f26f40
- 1c14f2a92b25a67b32eb5d67670f2f32
- 24b6611ee3f6ffefa2e830bb858e015c
