O cliente open-source SmartTube para Android TV, muito popular entre os usuários, foi comprometido após um atacante obter acesso às chaves de assinatura do desenvolvedor, o que resultou na distribuição de uma atualização maliciosa.
O problema veio à tona quando diversos usuários relataram que o Play Protect, antivírus nativo do Android, bloqueou o SmartTube em seus dispositivos e exibiu um alerta de risco.
Yuriy Yuliskov, responsável pelo desenvolvimento do SmartTube, confirmou que suas chaves digitais foram comprometidas no final da última semana.
Com isso, foi possível inserir malware no aplicativo.
Em resposta, Yuliskov revogou a assinatura antiga e anunciou que lançará em breve uma nova versão com um ID de aplicativo diferente, recomendando que os usuários façam a migração para essa nova build.
O SmartTube é um dos clientes de YouTube de terceiros mais baixados para TVs e dispositivos com Android TV, como Fire TV sticks e boxes.
Sua popularidade se deve ao fato de ser gratuito, bloquear anúncios e funcionar bem em aparelhos com hardware limitado.
Ao analisar a versão comprometida 30.51, um usuário identificou uma biblioteca nativa oculta chamada libalphasdk.so, inexistente no código-fonte público e injetada nas builds oficiais.
“Possivelmente um malware.
Esse arquivo não faz parte do meu projeto nem de qualquer SDK que utilizo.
Sua presença no APK é inesperada e suspeita.
Recomendo cautela até a verificação da origem”, alertou Yuliskov em uma discussão no GitHub.
Essa biblioteca opera silenciosamente em segundo plano, coletando a “impressão digital” do dispositivo, registrando-a em um servidor remoto e enviando métricas, além de buscar configurações por meio de um canal criptografado.
Tudo isso sem qualquer indicação visível para o usuário.
Embora não haja evidências de roubo de contas ou uso em botnets DDoS, o risco de que tais ações possam ser ativadas a qualquer momento é alto.
Apesar de Yuliskov ter anunciado no Telegram versões beta seguras e builds estáveis para testes, elas ainda não foram disponibilizadas no repositório oficial do projeto no GitHub.
Além disso, o desenvolvedor não forneceu detalhes completos sobre o incidente, o que gerou desconfiança na comunidade.
Ele prometeu esclarecer todas as dúvidas assim que lançar a versão final do novo app na loja F-Droid.
Enquanto isso, recomenda-se que os usuários permaneçam nas versões mais antigas, já confirmadas como seguras, evitem fazer login com contas premium e desativem as atualizações automáticas.
Para quem já foi impactado, a recomendação inclui alterar a senha da conta Google, revisar a atividade recente para detectar acessos não autorizados e remover quaisquer serviços desconhecidos.
Ainda não está claro exatamente quando a violação ocorreu ou quais versões do SmartTube são seguras.
Um usuário apontou que a versão 30.19 não foi sinalizada pelo Play Protect e parece estar livre do problema.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...