Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑

Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️

Le développeur a annoncé sur Telegram des builds bêta et tests stables « sûrs » (pas encore visibles sur le GitHub au moment des faits) et n’a pas encore fourni un récit complet, promettant un post-mortem après la publication sur F-Droid. Dans une mise à jour, il précise que des builds plus anciens sur GitHub ont été involontairement compromis en raison d’un malware sur sa machine de développement. Il indique avoir détecté le problème fin novembre, l’avoir identifié autour de la version 30.47 (des utilisateurs évoquent un début autour de 30.43) et liste comme compromis les versions 30.43–30.47. Après nettoyage, quelques builds ont été signés avec l’ancienne clé depuis un environnement sain, puis un passage à une nouvelle clé a été effectué à partir de la 30.55; des hachages divergents pour « 30.47 Stable v7a » s’expliqueraient par des tentatives de restauration post-nettoyage. 🐛

À ce stade, la fenêtre exacte de compromission reste floue et les versions sûres ne sont pas exhaustivement établies; un utilisateur signale que Play Protect ne signale pas la 30.19. L’article relaie des recommandations aux utilisateurs impactés:

  • Rester sur des versions plus anciennes réputées sûres;
  • Éviter la connexion avec des comptes premium;
  • Désactiver les mises à jour automatiques;
  • Réinitialiser le mot de passe du compte Google;
  • Vérifier la console de compte pour des accès non autorisés et retirer les services inconnus.

IOCs et TTPs:

  • IOCs:
    • Bibliothèque injectée: libalphasdk.so (présente dans 30.51; référencée sur VirusTotal)
    • Plage de versions compromises selon le développeur: 30.43–30.47
  • TTPs:
    • Vol/abus de clés de signature Android;
    • Injection d’une bibliothèque native cachée dans les builds de release;
    • Exécution furtive, fingerprinting de l’hôte, enregistrement auprès d’un backend;
    • Canal chiffré pour exfiltration de métriques et récupération de configuration;
    • Poussée de mise à jour malveillante via la chaîne de distribution.

Il s’agit d’un article de presse spécialisé visant à informer sur une compromission de chaîne d’approvisionnement applicative, ses indicateurs connus et l’état des versions affectées.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/smarttube-youtube-app-for-android-tv-breached-to-push-malicious-update/