Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО

Если вы используете SmartTube на Android TV, вы могли заметить, что приложение исчезло или перестало работать. Вот что стало причиной.

Несколько дней назад пользователи сообщили, что Google Play Защита автоматически отключила SmartTube. На экране появлялось предупреждение: «Приложение является фальшивым. Оно пытается захватить управление устройством или украсть ваши данные.» Пользователь мог выбрать — удалить приложение или оставить его, но фактически SmartTube не исчезал полностью: система безопасности просто блокировала его, чтобы защитить устройство.

Почему это произошло именно сейчас? Что стало триггером для Google Play Защита?

Разработчик SmartTube Юлисков (Yuliskov) объяснил, что цифровая подпись, которой подписывались APK-файлы приложения, утекла в сеть. Это означает, что злоумышленники могли собрать и выпустить под тем же именем поддельные версии SmartTube, содержащие вредоносный код. Текущие версии на устройствах это напрямую не затрагивает, однако украденный ключ можно использовать для распространения поддельных APK.

Чтобы устранить угрозу, разработчик сменил цифровую подпись на новую. Это автоматически привело к смене ID приложения. Если зайти в раздел релизов SmartTube на GitHub, можно заметить, что APK-файлы оттуда удалены, потому что они были подписаны старым ключом.

Один из пользователей проанализировал SmartTube версии 30.51 и обнаружил, что приложение содержит скрытую нативную библиотеку. Она запускается при старте и собирает:

• Модель и производителя устройства,
• Версию Android,
• Имя сетевого оператора,
• Тип подключения — Wi-Fi или мобильные данные,
• Имя пакета приложения,
• Внутренний путь к файлам,
• Уникальный ID, который приложение само генерирует и хранит,
• Локальный IP-адрес, сохраненный ранее,
• Флаг наличия Firebase.

Затем эта библиотека отправляет сообщение о регистрации на собственный сервер, передавая все эти данные в фоновом режиме. Пользователь предположил, что речь может идти о создании ботнета, хотя прямых доказательств кражи токенов или выполнения вредоносного кода найдено не было. Он также уточнил, что не анализировал код JavaScript, который удаленная система могла внедрять.

Юлисков подтвердил, что некоторые версии приложения действительно заражены. AFTVNews сообщает со слов разработчика, что компьютер, на котором собирались APK SmartTube, сам оказался заражен вредоносным ПО, и именно поэтому в итоговые сборки попал вредоносный код.

Пока неизвестно, какие версии пострадали полностью, но точно заражены 30.43 и 30.47. Эти файлы успели попасть даже на популярный ресурс APKMirror (который в этом не виноват). По этой причине SmartTube и был отключен Google Play Protect и Amazon Fire OS.

Один из пользователей сообщил список зараженных версий:

28.56, 28.58, 28.66, 28.75, 28.78, 29.13, 29.37, 29.62, 29.63, 29.85, 30.27, 30.32, 30.38, 30.40, 30.43, 30.44, 30.45, 30.51.

SmartTube считается одним из лучших способов смотреть YouTube без рекламы. И он действительно остается таким. Но если Play Защита предупредила вас о приложении — лучше удалить старую версию и установить новую.

Разработчик заявил, что зараженный компьютер полностью очищен, и новые релизы безопасны. Их можно установить, следуя официальной инструкции. При этом он настоятельно просит не скачивать APK-файлы из сторонних источников. По ссылкам на VirusTotal можно проверить актуальную стабильную версию (v30.56) и последнюю бету (v30.56) — обе проходят проверку и считаются безопасными.

Юлисков также сообщил на GitHub, что сейчас готовится новый релиз, который появится в F-Droid, после чего будет опубликовано официальное объяснение того, что произошло.

Инцидент вновь поднимает вопрос о политике Google по проверке разработчиков. Если злоумышленник может украсть ключ подписи приложения и использовать его для распространения вредоносного ПО, значит ли это, что система цифровой подписи на Android не такая надежная, как считалось?