A comunidade Android TV enfrenta uma crise de segurança significativa, pois o SmartTube, um popular cliente de terceiros do YouTube, foi comprometido devido à exposição de chaves de assinatura.
Pesquisadores de segurança identificaram código malicioso incorporado em versões oficiais, levando o Google a desativar o aplicativo à força nos dispositivos afetados.
O incidente, que veio à tona através de extensa análise da comunidade, demonstra como credenciais de desenvolvedor comprometidas podem levar à distribuição generalizada de malware através de canais legítimos.
Os usuários notaram o problema pela primeira vez quando o Google Play Protect sinalizou o SmartTube como perigoso e o desativou automaticamente em dispositivos Android TV.
As notificações do sistema alertaram que “Seu dispositivo está em risco”, movendo o aplicativo para uma seção desabilitada onde a reativação se tornou impossível.
O analista/pesquisador de segurança, Yuriy L (@yuliskov) observou ou identificou que sua assinatura digital foi exposta, permitindo que invasores injetassem bibliotecas maliciosas em compilações oficiais distribuídas por meio de lançamentos do GitHub e atualizações no aplicativo.
O desenvolvedor respondeu revogando a assinatura comprometida e anunciando planos de migrar para uma nova chave de assinatura, embora o dano já tivesse se espalhado por várias versões.
A análise forense de APKs infectados revelou um implante sofisticado escondido em bibliotecas nativas.
O componente malicioso, identificado como libalphasdk.so ou libnativesdk.so, é carregado automaticamente quando o aplicativo é iniciado por meio de um receptor de transmissão chamado io.nn.alpha.boot.BootReceiver.
Isso aciona exportações JNI, incluindo startSdk1, stopSdk1, getBandwidthDelta1 e getIsRegistered1, que inicializam um mecanismo de vigilância em segundo plano.
A biblioteca coleta extensos dados de impressão digital de dispositivos, incluindo fabricante, modelo, versão do Android SDK, operadora de rede, tipo de conexão, endereço IP local e identificadores exclusivos armazenados em preferências compartilhadas no namespace alphads db.
Essas informações são transmitidas por meio de uma pilha de rede personalizada que aproveita a infraestrutura do Google para mascarar suas comunicações de comando e controle.
Mecanismo de infecção e táticas de persistência
O malware estabelece persistência por meio de múltiplas camadas de fraude projetadas para evitar a detecção. Quando o SmartTube é iniciado, a biblioteca nativa maliciosa é inicializada sem interação do usuário, registrando temporizadores que são executados a cada segundo para pesquisa de registro e a cada 60 segundos para monitoramento de largura de banda.
A biblioteca impõe limites de largura de banda baixados da configuração remota, sugerindo controle do lado do servidor sobre os dispositivos infectados.
A análise mostra referências codificadas para drive.google.com, www.google.com e dns.google, indicando o uso do Google Drive e DNS sobre HTTPS como canais secretos para operações de comando e controle.
Os arquivos de configuração denominados neunative.txt e sdkdata.txt são obtidos desses domínios confiáveis, permitindo que o malware misture o tráfego legítimo do Google com atividades maliciosas.
O mecanismo de persistência permanece ativo enquanto a aplicação principal estiver em execução, sem indicadores visíveis ao usuário.
A detecção é desafiadora porque os arquivos .so maliciosos aparecem ao lado de bibliotecas legítimas como libcronet.98.0.4758.101.so, libglide-webp.so e libj2v8.so na pasta lib.
Os usuários podem verificar a infecção examinando o conteúdo do APK em busca de bibliotecas nativas inesperadas, com versões infectadas incluindo 30.43 a 30.55, enquanto as versões limpas param em 30.19.
O desenvolvedor confirmou que todo o seu ambiente de desenvolvimento precisava ser apagado, sugerindo que o comprometimento se estendia além do simples roubo de chaves, até uma possível infiltração na cadeia de suprimentos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
