概要
Android TV向けの人気のオープンソースYouTubeクライアント「SmartTube」が、開発者の署名キーが侵害されたことにより、悪意のあるアップデートをユーザーに配信していたことが判明しました。この問題は、Androidの組み込みアンチウイルス機能であるPlay ProtectがSmartTubeをブロックし、ユーザーに警告を発したことで明らかになりました。
開発者のYuriy Yuliskov氏は、先週後半に自身のデジタルキーが侵害され、アプリにマルウェアが注入されたことを認めました。Yuliskov氏は古い署名を失効させ、新しいアプリIDを持つ新バージョンをリリースすることを表明し、ユーザーにそちらへの移行を促しています。
事態の経緯と詳細
SmartTubeは、Android TV、Fire TV Stick、Android TV Boxなどのデバイス向けに広くダウンロードされているサードパーティ製YouTubeクライアントです。広告ブロック機能や軽量デバイスでの優れたパフォーマンスにより人気を集めています。
侵害されたSmartTubeバージョン30.51をリバースエンジニアリングしたユーザーによると、このバージョンには「libalphasdk.so」という隠されたネイティブライブラリが含まれていました。このライブラリは公開されているソースコードには存在せず、リリースビルドに不正に注入されたものです。
Yuliskov氏はGitHubのスレッドで、「おそらくマルウェアだ。このファイルは私のプロジェクトや使用しているSDKの一部ではない。APK内に存在することは予期せぬことであり、疑わしい。その出所が確認されるまで注意を払うことを推奨する」と述べています。
悪意のあるライブラリ「libalphasdk.so」の機能
この「libalphasdk.so」ライブラリは、ユーザーの操作なしにバックグラウンドでサイレントに動作します。主な機能は以下の通りです。
- ホストデバイスのフィンガープリントを取得し、リモートのバックエンドに登録。
- 暗号化された通信チャネルを介して、定期的にメトリクスを送信し、設定を取得。
これらの一連の動作は、ユーザーには一切可視化されません。現時点では、アカウント情報の盗難やDDoSボットネットへの参加といった悪意のある活動の証拠は見つかっていませんが、将来的にそのような活動を可能にするリスクは高いとされています。
開発者の対応とコミュニティの反応
開発者はTelegramで安全なベータ版および安定版テストビルドのリリースを発表しましたが、これらはまだプロジェクトの公式GitHubリポジトリには反映されていません。また、開発者から何が正確に起こったのかについての詳細な説明が不足しているため、コミュニティ内では信頼性の問題が生じています。
Yuliskov氏は、新しいアプリの最終リリースがF-Droidストアにプッシュされた後、すべての懸念に対処すると約束しています。
ユーザーへの推奨事項
開発者が詳細な事後分析を公に透明性をもって開示するまで、ユーザーは以下の推奨事項に従うことが強く推奨されます。
- 既知の安全な古いビルドを使い続ける。
- プレミアムアカウントでのログインを避ける。
- アプリの自動更新をオフにする。
- Googleアカウントのパスワードをリセットする。
- Googleアカウントのコンソールで不正アクセスがないか確認する。
- 認識できないサービスを削除する。
現時点では、いつ侵害が発生したのか、どのバージョンのSmartTubeが安全であるのかは不明確です。しかし、あるユーザーはPlay Protectがバージョン30.19をフラグ立てしないと報告しており、このバージョンは安全である可能性があります。
BleepingComputerはYuliskov氏に、侵害されたSmartTubeアプリのバージョンに関する詳細を問い合わせていますが、コメントはまだ得られていません。