Открытый проект SmartTube — один из самых популярных сторонних клиентов YouTube для Android TV и Fire TV — оказался под ударом после того, как злоумышленник получил доступ к ключам подписи разработчика и смог протолкнуть вредоносное обновление.
О проблеме стало известно, когда пользователи начали массово жаловаться: Play Protect блокировал SmartTube и предупреждал о риске.
Автор приложения, Юрий Юлисков, подтвердил, что его цифровые ключи действительно были скомпрометированы в конце прошлой недели, и в сборку попала вредоносный код.
Разбор версии 30.51 показал скрытую нативную библиотеку libalphasdk.so (детекты на VirusTotal) — её нет в открытом репозитории, в проект она не должна попадать ни при каких обстоятельствах. Юлисков прямо заявил, что библиотека не относится ни к его коду, ни к используемым SDK, и её появление «неожиданно и подозрительно».
Эта библиотека работает тихо, без участия пользователя:
- собирает отпечаток устройства,
- регистрирует его на удалённом сервере,
- периодически отправляет телеметрию и получает конфигурации по зашифрованному каналу.
Внешних признаков активности нет. Прямых следов вредоносных действий (кража аккаунтов, DDoS и прочее) пока не выявлено, но потенциал для подобных сценариев есть.
Юлисков уже отозвал старую подпись, пообещал выпустить новую версию под другим идентификатором и просит пользователей перейти на неё, как только она станет доступна. В Telegram он объявил о выходе безопасных тестовых сборок, но в официальный GitHub они пока не попали — что только усилило недоверие в сообществе.
Подробностей произошедшего разработчик пока не раскрыл. Он пообещал дать развернутый анализ после выхода финальной версии в F-Droid.
До появления полной официальной информации рекомендуется:
- использовать только старые версии, которые считаются безопасными (например, 30.19 — её Play Protect не блокирует),
- отключить автообновления,
- не входить в приложение под важными аккаунтами, особенно с премиум-доступом,
- сменить пароль Google-аккаунта,
- проверить консоль безопасности Google и удалить подозрительные сервисы.
Пока неизвестно, какая именно версия стала первой скомпрометированной и когда началась атака. Ситуация остаётся неопределённой — и пользователям SmartTube лучше проявлять осторожность до выхода официальных разъяснений.
