Android スマート TV とセットトップボックスで広告なしで Youtube 動画を視聴できる SmartTube アプリの署名キー情報が流出する事故が発生した。
今回の事故は、複数のユーザーが Play Protect の警告メッセージを受け、アプリが遮断される過程で確認された。
図1. ユーザーの通報
開発者は、自分の署名キーが流出し、既存のアプリに不正な振る舞いを実行するライブラリが含まれているという事実を認めた。
図2. 開発者の告知
ユーザーの分析結果、バージョン30.51の SmartTube アプリには libalphasdk.so という不明なライブラリが含まれており、これは公開されているソースコードには存在せず、リリースビルド時に追加されたものと推定される。
このライブラリの場合、ユーザーの同意なしにバックグラウンドで実行され、暗号化された通信チャンネルを通じて定期的にデータを収集し、送信する。現在までには DDos ボットネットのような不正な活動は発見されていないが、今後このような機能が実行される可能性があるという危険が存在する。
図3. Virustotal 内 SmartTube 30.43 バージョン検知
当社ではこの不正なライブラリが30.27バージョンから含まれているものと確認され、GitHub タグ履歴で約1ヶ月前から問題が発生したものと推定している。
図4. SmartTube 30.27 バージョン
図5. APK 内の不正なライブラリ
図6. プロジェクトタグ履歴情報
開発者は、問題を認知した後、従来の署名キーを中止し、新しい署名を生成、アプリ識別子(パッケージ名)を変更した。その後、Telegram を通じて変更した事実を知らせ、今日(2025.12.02)の午前に変更事項が適用されたアプリをアップロードしたと発表した。
図7. 新しい署名で生成した APK
SmartTube は公式ストアで配布されているアプリではないため、一般ユーザーがインストールの過程で困難を経験する場合がある。実際に Google で「スマートチューブ インストール」と検索すると、近年、までインストール方法を案内する掲示物が多数掲載されていることを確認できる。
図8. SmartTube インストールガイド
流出した署名で配布されたアプリは一般ユーザーが区分するのが困難なため、既存にインストールされたアプリを削除し、新しいバージョンをインストールすることを推奨する。
Categories: マルウェア