أثار اختراق تطبيق SmartTube، وهو عميل يوتيوب شهير لأجهزة أندرويد تي في، قلقًا كبيرًا في مجتمع المستخدمين، بعد اكتشاف وجود تعليمات برمجية خبيثة مضمنة في إصداراته الرسمية. ونتيجة لذلك، قامت جوجل بتعطيل التطبيق قسرًا على الأجهزة المتأثرة، مما يسلط الضوء على مخاطر اختراق مفاتيح التوقيع الرقمي.
بدأت القصة عندما لاحظ المستخدمون أن صلاحيات الحماية في جوجل بلاي بدأت بتحذيرهم من التطبيق، ومن ثم قامت بتعطيله بشكل تلقائي على أجهزة أندرويد تي في. وأظهرت إشعارات النظام عبارة “جهازك معرض للخطر”، مع نقل التطبيق إلى قسم التطبيقات المعطلة، مما حال دون إعادة تفعيله.
وفقًا لما ذكره باحثون أمنيون، تمكن المهاجمون من الوصول إلى مفتاح التوقيع الرقمي الخاص بمطور التطبيق، وهو ما سمح لهم بحقن مكتبات ضارة في الإصدارات الرسمية التي يتم توزيعها عبر منصة GitHub وتحديثات التطبيق نفسه.
مخاطر اختراق مفاتيح التوقيع الرقمي في SmartTube
كانت هذه الحادثة بمثابة صدمة لمستخدمي SmartTube، وهو تطبيق يعتبر بديلاً شائعًا لتطبيق يوتيوب الرسمي على أجهزة التلفزيون الذكية. وقد أدت عملية اختراق مفاتيح التوقيع الرقمي إلى انتشار واسع لتطبيق يحتوي على شفرة خبيثة، مما أضر بسمعة التطبيق وزعزع ثقة المستخدمين.
آلية عمل الشفرة الخبيثة
كشفت التحليلات الفنية للتطبيقات المتأثرة عن وجود مكون خبيث مخفي داخل المكتبات الأصلية للتطبيق. وتتمثل هذه الشفرة الخبيثة في ملفات تحمل أسماء مثل libalphasdk.so أو libnativesdk.so.
عند بدء تشغيل التطبيق، يتم تفعيل هذه المكتبة تلقائيًا من خلال مستقبل بث يعرف بـ io.nn.alpha.boot.BootReceiver. وهذا بدوره يقوم بتشغيل وظائف إضافية تشمل startSdk1، stopSdk1، getBandwidthDelta1، و getIsRegistered1. تعمل هذه الوظائف على تفعيل آلية مراقبة تعمل في الخلفية.
تقوم المكتبة الخبيثة بجمع معلومات مفصلة عن الجهاز، مثل الشركة المصنعة، الموديل، إصدار نظام أندرويد، مشغل الشبكة، نوع الاتصال، عنوان IP المحلي، ومعرفات فريدة مخزنة في تفضيلات التطبيق تحت اسم alphads db. ويتم إرسال هذه البيانات باستخدام بروتوكول شبكة مخصص، يستفيد من البنية التحتية لشركة جوجل لإخفاء الاتصالات مع خوادم القيادة والتحكم.
أساليب الثبات والتخفي
تستعين البرمجية الخبيثة بآليات متعددة للبقاء متخفية وتجنب الكشف. فعند تشغيل SmartTube، يتم تهيئة المكتبة الضارة ضمنيًا، دون تدخل المستخدم، وتقوم بتسجيل مؤقتات لتنفيذ عمليات تسجيل عن بعد كل ثانية، ومراقبة عرض النطاق الترددي كل 60 ثانية.
ويتم فرض قيود على عرض النطاق الترددي، بناءً على إعدادات يتم تنزيلها من خوادم خارجية، مما يشير إلى إمكانية التحكم عن بعد بالأجهزة المصابة.
تظهر التحليلات وجود إشارات صريحة لخوادم جوجل مثل drive.google.com، www.google.com، و dns.google. هذا يعكس استخدام خدمات Google Drive ونظام DNS-over-HTTPS كقنوات سرية لعمليات القيادة والتحكم، مما يسهل إخفاء النشاط الخبيث ضمن حركة مرور الشبكة العادية.
يتم جلب ملفات الإعدادات مثل neunative.txt و sdkdata.txt من نطاقات جوجل الموثوقة، مما يسمح للشفرة الخبيثة بالامتزاج مع حركة مرور جوجل الشرعية. تبقى آلية الثبات نشطة طالما أن التطبيق الرئيسي قيد التشغيل، دون ظهور أي علامات واضحة للمستخدم.
تصبح عملية الكشف عن هذه الشفرة أمرًا صعبًا، حيث تظهر الملفات الخبيثة .so إلى جانب المكتبات الشرعية للتطبيق، مثل libcronet.98.0.4758.101.so، libglide-webp.so، و libj2v8.so في مجلد المكتبات. يمكن للمستخدمين التحقق من إصابة أجهزتهم من خلال فحص محتويات ملفات APK والبحث عن مكتبات أصلية غير متوقعة. تشير المعلومات إلى أن الإصدارات المتأثرة تتراوح من 30.43 إلى 30.55، بينما تتوقف الإصدارات النظيفة عند 30.19.
أكد مطور التطبيق الحاجة إلى مسح شامل لبيئة التطوير الخاصة به، مما يوحي بأن الاختراق قد يكون تجاوز مجرد سرقة المفاتيح ليشمل احتمالية التسلل إلى سلسلة التوريد لتطوير البرمجيات.