SmartTube para Android TV foi comprometido após vazamento de chaves de assinatura | Riscos e Ameaças

SmartTube, cliente third‑party para Android TV, teve chaves de assinatura expostas; builds oficiais passaram a incluir um implant nativo (libalphasdk.so / libnativesdk.so) que coleta fingerprinting e usa infraestrutura Google para mascarar C2. Versões infectadas indicadas: 30.43–30.55; desenvolvedor revogou a assinatura.

O cliente SmartTube para Android TV foi comprometido depois que chaves de assinatura foram expostas, permitindo a distribuição de builds oficiais com código malicioso; Google desativou o app em dispositivos afetados e o desenvolvedor revogou a assinatura comprometida.

Resumo do incidente

Pesquisadores identificaram código malicioso embutido em releases oficiais do cliente SmartTube para Android TV, após exposição de chaves de assinatura do desenvolvedor. Como consequência, Google Play Protect marcou o app como perigoso e o colocou em estado desativado em dispositivos afetados, com notificações de risco para usuários.

Vetores, componentes e persistência

A análise forense das APKs infectadas revelou um implante nativo presente em bibliotecas .so nomeadas como libalphasdk.so ou libnativesdk.so. Essas bibliotecas são inicializadas automaticamente por um broadcast receiver identificado como io.nn.alpha.boot.BootReceiver e expõem funções JNI como startSdk1, stopSdk1, getBandwidthDelta1 e getIsRegistered1, que, conforme a descrição técnica, inicializam um mecanismo de vigilância em background.

Coleta e canais de comando

O módulo malicioso coleta dados de fingerprinting do dispositivo — fabricante, modelo, versão do Android SDK, operadora, tipo de conexão, endereço IP local e identificadores armazenados em shared preferences sob o namespace alphads db. A comunicação C2 utiliza uma pilha de rede customizada que, segundo a apuração, faz uso de infraestrutura Google para mascarar o tráfego, com referências hardcoded a drive.google.com, www.google.com e dns.google.

Arquivos de configuração e controle

O malware busca arquivos de configuração denominados neunative.txt e sdkdata.txt hospedados em domínios confiáveis, permitindo que o tráfego malicioso seja misturado com solicitações legítimas a serviços Google (incluindo Google Drive e DNS-over-HTTPS), conforme relatado.

Versões afetadas e detecção

As versões infectadas citadas nas fontes incluem builds numeradas entre 30.43 e 30.55; versões limpas registradas chegam até 30.19. A presença de bibliotecas nativas inesperadas na pasta lib de um APK é um indicador imediato para auditoria manual. A detecção é dificultada porque as bibliotecas maliciosas aparecem lado a lado com bibliotecas legítimas como libcronet.98.0.4758.101.so, libglide-webp.so e libj2v8.so.

Resposta do desenvolvedor e mitigação

O desenvolvedor revogou a assinatura comprometida e anunciou a migração para uma nova chave de assinatura; entretanto, a publicação indica que o dano já se espalhou por várias versões. O autor também informou que todo o ambiente de desenvolvimento precisou ser limpo (wipe), sugerindo comprometimento além do simples vazamento de chaves.

Limites das informações

O relato disponível não inclui hashes públicos de APKs infectados, amostras para download ou uma lista de domínios C2 completamente enumerada além das referências gerais citadas. Profissionais que investigam incidentes devem procurar as amostras e IOCs divulgados por analistas independentes como complemento para remediação.

Fonte: Cyber Security News.