L'application open source SmartTube, prisée par les utilisateurs d'Android TV et de Fire TV pour son blocage de publicités et ses performances, a été au centre d'une alerte de sécurité. Plusieurs versions de ce client YouTube alternatif ont été compromises par un malware, suite à l'infection de l'ordinateur du développeur principal.
L'incident a été publiquement révélé après que des utilisateurs ont vu l'application bloquée par Google Play Protect, qui la signalait comme une menace potentielle tentant de prendre le contrôle de l'appareil ou de voler des données.
Quel était le mode opératoire du malware ?
L'analyse de la version 30.51, menée par des utilisateurs de la communauté, a révélé la présence d'une bibliothèque cachée libalphasdk.so, totalement absente du code source public du projet.
Cette bibliothèque suspecte s'exécutait silencieusement en arrière-plan dès le lancement de l'application, se chargeant de collecter des informations détaillées sur l'appareil : modèle, fabricant, version d'Android, opérateur réseau ou encore adresse IP locale.
Toutes ces données étaient ensuite transmises à un serveur distant via un canal de communication chiffré, sans aucune interaction ni indication visible pour l'utilisateur. Il existe notamment un risque d'intégration à un botnet.
Quelles versions sont affectées ?
Selon le développeur, Yuriy Yuliskov, les versions compromises se situeraient entre la 30.43 et la 30.47. Il a expliqué que le malware présent sur sa machine de développement s'est involontairement retrouvé dans les compilations de l'application. Cependant, par mesure de précaution, une liste bien plus large de versions, allant de la 28.56 à la 30.51, est considérée comme potentiellement à risque par la communauté.
Face à cette situation, le développeur a affirmé avoir totalement nettoyé son environnement de travail et a publié une nouvelle version saine (30.56 et supérieures) signée avec une nouvelle clé de sécurité pour garantir l'intégrité des futures mises à jour.
Par conséquent, toutes les versions antérieures ont été retirées du dépôt GitHub officiel du projet pour éviter toute nouvelle installation accidentelle.
Les recommandations pour les utilisateurs
Il est impératif pour les utilisateurs de désinstaller immédiatement toute version suspecte de SmartTube et de désactiver les mises à jour automatiques. La recommandation la plus radicale est de procéder à une réinitialisation d'usine de l'appareil sur lequel l'application était installée.
En complément, il est conseillé de réinitialiser le mot de passe du compte Google, d'examiner l'historique d'activité YouTube à la recherche d'actions suspectes et de révoquer les autorisations accordées à des services inconnus.