Popüler bir üçüncü taraf YouTube istemcisi olan SmartTube’un, açığa çıkan imzalama anahtarları nedeniyle tehlikeye atılması nedeniyle Android TV topluluğu önemli bir güvenlik kriziyle karşı karşıyadır.
Güvenlik araştırmacıları, resmi sürümlere yerleştirilmiş kötü amaçlı kod tespit ederek Google’ın, etkilenen cihazlarda uygulamayı zorla devre dışı bırakmasına neden oldu.
Kapsamlı topluluk analiziyle gün ışığına çıkan olay, geliştirici kimlik bilgilerinin tehlikeye atılmasının, kötü amaçlı yazılımların meşru kanallar aracılığıyla yaygın şekilde yayılmasına nasıl yol açabileceğini gösteriyor.
Kullanıcılar bu sorunu ilk olarak Google Play Protect’in SmartTube’u tehlikeli olarak işaretleyip Android TV cihazlarında otomatik olarak devre dışı bırakmasıyla fark etti.
Sistem bildirimleri, uygulamayı yeniden etkinleştirmenin imkansız hale geldiği devre dışı bırakılmış bir bölüme taşıyarak “Cihazınız risk altında” uyarısında bulundu.
Güvenlik analisti/araştırmacısı Yuriy L (@yuliskov), dijital imzasının açığa çıktığını ve saldırganların GitHub sürümleri ve uygulama içi güncellemeler aracılığıyla dağıtılan resmi yapılara kötü amaçlı kitaplıklar eklemesine olanak sağladığını belirtti veya belirledi.
Geliştirici, tehlikeye atılan imzayı iptal ederek ve yeni bir imzalama anahtarına geçme planlarını açıklayarak yanıt verdi; ancak hasar zaten birden fazla sürüme yayılmıştı.
Virüs bulaşmış APK’ların adli analizi, yerel kütüphanelerde gizlenmiş karmaşık bir implantı ortaya çıkardı.
Olarak tanımlanan kötü amaçlı bileşen libalphasdk.so veya libnativesdk.souygulama adı verilen bir yayın alıcısı aracılığıyla başlatıldığında otomatik olarak yüklenir. io.nn.alpha.boot.BootReceiver.
Bu, aşağıdakiler de dahil olmak üzere JNI ihracatını tetikler: startSdk1, stopSdk1, getBandwidthDelta1Ve getIsRegistered1bir arka plan gözetim mekanizmasını başlatan.
Kitaplık, üretici, model, Android SDK sürümü, ağ operatörü, bağlantı türü, yerel IP adresi ve paylaşılan tercihlerde saklanan benzersiz tanımlayıcılar dahil olmak üzere kapsamlı cihaz parmak izi verilerini toplar. alphads db ad alanı.
Bu bilgiler, komuta ve kontrol iletişimlerini maskelemek için Google altyapısından yararlanan özel bir ağ yığını kullanılarak aktarılır.
Enfeksiyon Mekanizması ve Kalıcılık Taktikleri
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için tasarlanmış çok sayıda aldatma katmanı yoluyla kalıcılık sağlar. SmartTube başlatıldığında, kötü amaçlı yerel kitaplık, kullanıcı etkileşimi olmadan başlatılır ve kayıt yoklaması için her saniyede bir ve bant genişliği izleme için her 60 saniyede bir yürütülen zamanlayıcıları kaydeder.
Kitaplık, uzaktan yapılandırmadan indirilen bant genişliği sınırlarını zorlayarak, virüslü cihazlar üzerinde sunucu tarafı kontrolü öneriyor.
Analiz, sabit kodlanmış referansları gösterir drive.google.com, www.google.comVe dns.googleGoogle Drive’ın ve HTTPS üzerinden DNS’nin komuta ve kontrol işlemleri için gizli kanallar olarak kullanıldığını belirtir.
Adlandırılmış yapılandırma dosyaları neunative.txt Ve sdkdata.txt Bu güvenilir alanlardan getirilerek kötü amaçlı yazılımın meşru Google trafiğini kötü amaçlı etkinliklerle karıştırmasına olanak tanır.
Kalıcılık mekanizması, ana uygulama çalıştığı sürece kullanıcıya görünür bir gösterge olmadan aktif kalır.
Kötü amaçlı yazılım nedeniyle tespit edilmesi zorlayıcıdır .so dosyalar gibi yasal kitaplıkların yanında görünür libcronet.98.0.4758.101.so, libglide-webp.soVe libj2v8.so lib klasöründe.
Kullanıcılar, 30.43’ten 30.55’e kadar virüslü sürümler içeren ve temiz sürümler 30.19’da duran, beklenmedik yerel kitaplıklar için APK içeriklerini inceleyerek bulaşma olup olmadığını kontrol edebilir.
Geliştirici, tüm geliştirme ortamının silinmesi gerektiğini doğruladı ve bu durum, uzlaşmanın basit anahtar hırsızlığının ötesinde potansiyel tedarik zinciri sızmasına kadar uzandığını öne sürdü.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
