Неотложное предупреждение: новая версия SmartTube оказалась заражённой хакерами

Пока разработчик готовит безопасный релиз, специалисты рекомендуют как можно скорее сменить пароль Google и удалить модифицированные версии SmartTube, в которые попал подозрительный модуль.

Стало известно, что один из самых популярных неофициальных клиентов YouTube для Android TV — SmartTube — оказался скомпрометирован. В распространяемый APK-файл была добавлена вредоносная версия приложения, подписанная украденными сертификатами автора. Инцидент вызвал дискуссию о том, насколько надёжны сторонние решения для просмотра контента и стоит ли их продолжать использовать.

Проблема всплыла после того, как пользователи начали писать о блокировке SmartTube со стороны Android Play Protect. Защитный механизм предупреждал, что приложение может представлять угрозу. Разработчик SmartTube, Юрий Лисков, подтвердил, что ключи подписи действительно были похищены, что и позволило злоумышленникам подменить сборку и внедрить вредоносный код.

Старый сертификат уже аннулирован. Сейчас Лисков работает над новой версией с изменённым идентификатором пакета и рекомендует переходить на неё, как только она станет доступна. SmartTube активно используют владельцы Android TV, Fire TV и различных ТВ-боксов, поскольку приложение позволяет смотреть YouTube без рекламы и работает быстрее официального клиента на слабых устройствах.

Один из пользователей проанализировал заражённую сборку 30.51 и обнаружил в ней неизвестную нативную библиотеку «libalphasdk.so». В открытом коде проекта её нет, что указывает на подмену сборки уже на этапе подготовки релиза. Лисков заявил, что не знает происхождения этой библиотеки и она не связана ни с одним SDK, применяемым в SmartTube.

Подозрительный компонент запускается без уведомлений, собирает информацию об устройстве, регистрирует его на удалённом сервере, передаёт телеметрию и может получать конфигурацию по защищённому каналу. При этом внешних признаков работы модуля нет. На момент публикации нет подтверждений кражи аккаунтов или участия заражённых устройств в атаках, однако сам факт присутствия скрытого модуля рассматривается как серьёзная угроза.

Лисков сообщил в Telegram, что доступны безопасные тестовые сборки как для стабильной, так и для бета-линий SmartTube, однако в официальном репозитории на GitHub они пока отсутствуют. Подробного технического отчёта о случившемся автор проекта ещё не опубликовал, что усилило обеспокоенность части сообщества. Он обещает предоставить разбор после выхода обновлённой версии приложения в F-Droid.

До появления официальных разъяснений специалистами рекомендуется использовать проверенные, более ранние релизы SmartTube, отключить автообновление и избегать входа под аккаунтами с YouTube Premium. Тем, кто успел установить версию 30.51, советуют изменить пароль к Google-аккаунту, проверить историю входов на предмет подозрительной активности и отключить доступ сторонним сервисам, которые не удаётся опознать.

Пока неизвестно, когда именно началась компрометация и какие версии оказались задеты. Предварительно сообщается, что выпуск 30.19 не помечается Play Protect как вредоносный, поэтому временно он считается наиболее безопасным вариантом. Журналисты направили разработчику запрос с просьбой уточнить список заражённых сборок, но ответа пока не получили. В своём канале Лисков лишь отметил, что «старые версии потенциально менее безопасны».