Hi, ich habe heute mitbekommen, dass Smarttube von Malware betroffen ist.
Die App ist bei mir auf meinem FireTV Stick installiert, die App nutze ich täglich. Wer die Firewall in der Fritzbox kennt, mein Profil war für den Stick: Gesperrte Anwendungen: TCP Beliebig 1-79 TCP Beliebig 81-442 TCP Beliebig 444-65535 UDP Beliebig Beliebig
Die App habe ich immer stets aktuell gehalten, bin also sicher betroffen und habe es jetzt erst eine Woche später davon etwas mitbekommen.
Wie sollte ich jetzt vorgehen, damit ich mein Gerät und mein komplettes Netzwerk wieder sicher bekomme?
Die Angelegenheit macht mir Sorgen, da ich nicht weiß, was die Malware bereits mit Netzwerk gemacht hat oder vielleicht auf andere Geräte Zugriff hatte. Installiert ist auf dem Stick zum Beispiel Kodi, welches wieder Zugriff auf meinen Netzwerkspeicher hat usw.
In der Fritzbox Übersicht im Online-Monitor zu dem Gerät, sehe ich 2 Upload Spikes in der 2 Wochen Übersicht am 28. und 02.12. von 0,1.Mbits.
Hast du andere informationen als in dem link den du gepostet hast? Denn da steht
Friends, it seems that my digital signature has been exposed. This signature protects the app from fake and malicious updates, so there is a riskthat someone may try to release counterfeit versions under my name.
“Risiko” und andere “könnten” in zukunft unter seinem namen updates veröffentlichen, also nix von konkreter malware infektion.
30.44 is apparently infected with some really nasty stuff.
Kasperkey: not-a-virus:HEUR:RiskTool.AndroidOS.Revpn.al
Rising: Hacktool.Revpn/Android!8.13A49 (CLOUD)
Proxy?
DrWeb: Android.Vo1d.14.origin
Botnet?
it seems that the 30.44 was used as a botnet and/or proxy service; people were stealing your internet and using your ip address, probably for malicious intent.
Ich habe diese Meldung die Tage auch gelesen. Ob nun tatsächlich infiziert oder nicht, ich habe mich dazu entschieden, den Google-TV-Stick, auf dem ich SmartTube nutze, auf Werkseinstellungen zurückzusetzen und neu einzurichten.
Es ist wohl so, dass seine Festplatte kompromittiert wurde. Und so wurde dann der Source-Code auf GitHub angepasst und mehrere neue malicious Builds veröffentlicht.
Ja, den FireTV Stick habe ich jetzt zurückgesetzt.
Würdet ihr diese App wieder installieren, bzw. dieser vertrauen?
Ein Backup von meiner alten App habe ich noch angelegt.
Mir macht eher sorgen, in weit meine andere Geräte im Netzwerk dadurch wohl gefährdet waren oder es vielleicht sogar noch sind ? (Lateral Movement … o.ä., muss man sich darüber Gedanken machen?)
Ich bin mir nicht sicher ob da nicht der größtmögliche Schaden vermutet wird und mit Kannonen auf Spatzen geschossen wird. Viel größer scheint mir da die Gefahr, wenn die App aus irgendwelchen Quellen geladen wird, nur um Google oder den F-Droid Store zu vermeiden.
Es ist nun mal eine APP, die es nicht im f-droid store gibt und der FIre TV stick hat kein Google. Daher wurde ein solcher Store nicht vermieden, es gab keinen für diese APP. Der Play store hat die APP ebenfalls nicht. Die APP wurde ursprünglich aus dem offiziellen github Repository geladen, eine bessere oder sicherere Quelle gibt es einfach nicht.
Meine Frage finde ich jetzt nicht so abwegig, ob man andere Systeme im Netzwerk überprüfen sollte … wie von euch das Risiko eingeschätzt wird.
gesprochen wird und man dann über o.g. externe Kanäle erfährt, dass Appupdates mit Malware ausgeliefert wurden, was ungleich schlimmer ist, ist ganz viel Vertrauen verspielt.
Da können alle Nutzer drei Kreuze machen, dass die App nur für Android-TVs verfügbar war und daher die Appsandbox vermutlich den größten Schaden eingedämmt hat. Wohl dem, der sich nicht mit dem Google-Account in der App angemeldet hat, sonst ist der Schaden womöglich größer.
Der Vorfall ist ein gutes Beispiel dafür, wie wichtig Sandboxing und das Sicherheitsmodell des OS sind. Man stelle sich nur vor, die App wäre auch für Linux oder Windows verfügbar gewesen, dann wäre der Schaden nun riesig.
Ja, also unter Linux gibt es auch Flatpak und Snaps. Es geht schon in die richtige Richtung, ist aber noch nicht so verbreitet und ausgereift wie unter Android.
Einen Google Account habe ich nicht verknüpft, aber andere sind da ggf. nochmal schlechter aufgestellt.
Ich muss sagen, der Stick wäre besser im Gast WLAN aufgehoben gewesen.
Mein Kodi darauf braucht aber das interne Netz und ich habe einen pihole, welcher zugegeben mit den Updates nicht mehr auf einem aktuellen Stand ist. Hat von euch jemand privat vlans oder eigene Firewalls deswegen im Einsatz?
Was dem Entwickler passiert ist, kann vermutlich jedem von uns auch passieren. Stimme dir aber zu, die Kommunikation hätte besser laufen können.
Habe die App auf meinem NVIDIA Shield installiert.
In punkto Kommunikation extrem unbefriedigend:
Welche Versionen betroffen sind, habe ich auf der github-Seite des Entwicklers nicht gesehen; diese Info habe ich bei Chip.de gefunden.
Wie der Entwickler Yuuliskov gegenüber dem Portal mitteilte, wurden einige SmartTube-Versionen mit Malware infiziert, die sich unbewusst auf seinem Rechner befand. Nach seiner Einschätzung seien Versionen 30.43 bis 30.47 betroffen.
Ist mit völlig unklar: Woran erkenne ich, ob „meine“ Version betroffen war, oder nicht?
Falls ja, was macht diese Malware?
Okay, ich hatte noch die App-Version 30.19; im pi-Hole habe ich nichts Ungewöhnliches entdecken können & einen Google-Account nutze ich nicht. Ich hoffe einfach mal, dass ich Glück hatte (habe jetzt 30.19 deinstalliert und dann die neue Version 30.56 installiert).
Wirkliche Informationen sehe ich leider nicht, aber ein Nek-12 scheint die Sache etwas zu analysieren.
…It doesn’t just run as a normal app. It can pull in new code from the internet, run it in the background, and even reload that stuff when the device restarts…
Die Malware befindet sich in der Bibliothek libalphasdk.so und sammelt unter anderem Informationen über das Gerät, installierte Apps und IP-Adressen. Laut bisherigen Analysen wurden keine Accountdaten abgegriffen, die App könnte aber künftig Anweisungen von den Angreifern empfangen.
Danke, wobei Anweisungen ja einen großen Spielraum haben kann. Mit einer alternativen yt App konnte ich mich bisher auch nicht anfreunden.
Nutzt ihr Smarttube wieder auf euren Geräten?
Eigentlich wollte ich mit einer Installation warten, bis mehr Informationen vorliegen. Der Entwickler scheint aber keine weiteren Informationen mehr zu liefern. Auch wann und ob es ein f-droid build geben wird ist unklar.
Nutze Smarttube weiterhin, kein Problem. AltenApp komplett löschen und neuestes Release installieren. Gibt auch generell jede Menge Infos auF Telegramm
