Une anomalie détectée fin novembre dans une mise à jour de SmartTube a révélé l’intrusion d’un module non documenté dans plusieurs versions signées de l’APK. L’incident a poussé le développeur à reconnaître une compromission de son environnement, et conduit à la refonte complète du projet.
SmartTube, l’un des clients YouTube alternatifs les plus utilisés sur Android TV, a diffusé plusieurs mises à jour contenant un module malveillant au nez et à la barbe de ses utilisateurs et utilisatrices… comme de son développeur. L’affaire a émergé fin novembre lorsque Play Protect a commencé à bloquer les versions récentes et à pointer un fichier absent du code source public. Dans la foulée, Yuriy Yuliskov, le créateur de l’application, a reconnu qu’un malware s’était invité dans son environnement de développement, compromettant sa clé de signature et entraînant la diffusion de plusieurs builds signées malveillantes.
Un module caché dans des versions officielles de SmartTube
Les premiers détails tangibles sont venus d’un internaute manifestement calé sur le plan technique, qui a eu le réflexe de décortiquer la version 30.51 signalée par Play Protect sur son appareil. En poussant l’analyse de l’APK, il a fait ressortir une bibliothèque native, libalphasdk.so, absente du code source public et sans lien avec les composants du projet, ce qui tendrait à confirmer que l’intrusion s’est produite en dehors du dépôt officiel, au moment de la compilation de l’application.
L’examen plus approfondi du module a aussi montré qu’il s’exécutait en arrière-plan, sans interaction avec l’utilisateur ni interface visible. Il dresse un profil de l’appareil, enregistre cette empreinte auprès d’une infrastructure distante, transmet des informations et récupère régulièrement un fichier de configuration via un canal chiffré. Les premières conclusions ne font pour l’heure état d’aucun vol de compte ni d’aucun comportement malveillant manifeste, mais sa présence même dans des builds signées reste problématique.
Alerté par les remontées de la communauté, Yuriy Yuliskov a finalement indiqué sur la page du projet que sa clé de signature avait été compromise et qu’il l’abandonnait au profit d’un certificat neuf, ce changement impliquant la création d’une application distincte. À BleepingComputer, il a ensuite précisé que les versions 30.43 à 30.47 étaient a priori toutes infectées, expliquant qu’elles avaient été compilées sur sa machine de développement, elle-même contaminée par un logiciel malveillant.
Et maintenant, on fait quoi ?
Depuis l’incident, Yuliskov affirme avoir réinitialisé son système, nettoyé le dépôt GitHub, abandonné l’ancienne clé de signature, et procédé à une refonte de l'application. Sur Telegram, il a également annoncé des versions bêta « sûres » ainsi que des builds de test stables, même si elles ne figurent pas encore sur le GitHub officiel.
Par conséquent, si vous êtes vous-même utilisateur ou utilisatrice de SmartTube, vous avez tout intérêt à vérifier la version installée sur votre appareil et à désinstaller immédiatement l’application si elle affiche un numéro compris entre 30.43 et 30.47, voire 30.51 si l’on en croit les conclusions tirées par la communauté. En théorie, la suppression de l’APK devrait suffire à neutraliser le module, puisqu’il ne fonctionne qu’au sein de l’appli et ne laisse pas de traces sur le système. Pour mettre toutes les chances de votre côté, vous pouvez ensuite lancer une analyse Play Protect.
De manière générale, on vous rappellera d’être toujours très prudent si vous récupérez des applications hors Play Store, y compris lorsqu’elles sont réputées, maintenues avec sérieux et portées par une communauté très active. L’open source facilite l’audit, certes, mais il n’empêche ni la compromission d’une clé ni l’infection d’un poste de développement, comme en témoigne cette affaire.
Enfin, ne désactivez jamais Play Protect, et si besoin, installez un antivirus complémentaire.
Sources : Yuriy Yuliskov via GitHub, BleepingComputer
