Waspada Aplikasi Android TV Jadi Sarang Malware

Aplikasi pihak ketiga untuk Android TV, SmartTube, menjadi sarang malware usai peretas bisa masuk ke sistem pengembang dan mendistribusikan pembaruan berbahaya kepada pengguna.

Insiden ini terungkap setelah beberapa pengguna melaporkan bahwa Play Protect, modul antivirus bawaan Android, memblokir SmartTube di perangkat mereka dan memperingatkan tentang risiko.

Lihat Juga : Teror Phishing Sasar Aktivitas Belanja Online dan Main Game di 2025

Pengembang SmartTube, Yuriy Yuliskov, mengatakan bahwa kunci digitalnya diretas pada akhir pekan lalu, yang mengakibatkan penyisipan malware ke dalam aplikasi.

Yuliskov mencabut kunci sign in lama dan mengatakan bahwa ia akan segera menerbitkan versi baru dengan ID aplikasi terpisah, sambil mendorong pengguna untuk beralih ke versi tersebut.

SmartTube merupakan salah satu platform pihak ketiga YouTube yang paling banyak diunduh untuk Android TV, Fire TV stick, Android TV box, dan perangkat serupa.

Popularitasnya dikarenakan aplikasi ini gratis, dapat memblokir iklan, dan berfungsi dengan baik pada perangkat dengan spesifikasi rendah.

Seorang pengguna yang melakukan reverse engineering pada versi SmartTube yang terkompromi nomor 30.51 menemukan bahwa aplikasi tersebut mengandung native library tersembunyi bernama libalphasdk.so [VirusTotal]. Library ini tidak terdapat dalam kode sumber publik, sehingga diduga disisipkan ke dalam build rilis.

"Mungkin malware. Berkas ini bukan bagian dari proyek saya atau SDK apa pun yang saya gunakan. Kehadirannya dalam APK tidak terduga dan mencurigakan. Saya menyarankan untuk berhati-hati hingga asal-usulnya diverifikasi," kata Yuliskov dalam sebuah thread GitHub, dikutip dari Bleeping Computer, Senin (1/12).

Library ini berjalan secara diam-diam di latar belakang tanpa interaksi pengguna, mengambil sidik jari perangkat host, mendaftarkannya ke remote backend, dan secara berkala mengirimkan metrik serta mengambil konfigurasi melalui saluran komunikasi terenkripsi.

Lihat Juga : Banyak E-commerce Palsu, Waspada Belanja Online di Tanggal Kembar

Semua ini terjadi tanpa indikasi visual bagi pengguna. Meskipun tidak ada bukti aktivitas berbahaya seperti pencurian akun atau partisipasi dalam botnet DDoS, risiko memfasilitasi aktivitas semacam itu tetap tinggi.

Meski pengembang mengumumkan di Telegram tentang rilis versi beta aman dan stabil, versi tersebut belum sampai ke repositori GitHub resmi proyek.

Selain itu, pengembang belum memberikan detail lengkap tentang apa yang sebenarnya terjadi, yang telah menimbulkan masalah kepercayaan di komunitas.

Lebih lanjut, Yuliskov berjanji akan menanggapi semua kekhawatiran setelah rilis final aplikasi baru dipublikasikan di toko F-Droid.

Sampai pengembang secara transparan mengungkap semua detail secara publik dalam laporan pasca-insiden yang rinci, pengguna disarankan untuk tetap menggunakan versi lama yang diketahui aman, menghindari login dengan akun premium, dan mematikan pembaruan otomatis.

Pengguna yang terdampak juga disarankan untuk mereset kata sandi akun Google mereka, memeriksa konsol akun untuk akses yang tidak sah, dan menghapus layanan yang tidak mereka kenali.

Saat ini, belum jelas kapan tepatnya pelanggaran terjadi atau versi mana dari SmartTube yang aman digunakan. Seorang pengguna melaporkan bahwa Play Protect tidak mendeteksi versi 30.19, sehingga tampaknya aman.

"Beberapa build lama yang muncul di GitHub secara tidak sengaja terkompromi karena malware yang ada di mesin pengembangan saya saat build tersebut dibuat. Segera setelah saya menyadari masalah tersebut pada akhir November, saya langsung menghapus sistem dan membersihkan lingkungan, termasuk repositori GitHub," jelas Yuliskov.

"Saya menyadari masalah malware sekitar versi 30.47, tetapi berdasarkan laporan pengguna baru-baru ini, masalah tersebut mulai muncul sekitar versi 30.43. Jadi, menurut pemahaman saya, versi yang terinfeksi adalah 30.43-30.47," tambahnyna.

Ia mengatakan kunci baru akan diterapkan untuk versi 30.55 ke atas.

"Setelah membersihkan lingkungan, beberapa build dirilis menggunakan kunci sebelumnya (dipersiapkan di sistem yang bersih), tetapi mulai dari versi 30.55 ke atas, saya beralih ke kunci baru untuk keamanan penuh. Perbedaan hash untuk 30.47 Stable v7a kemungkinan disebabkan oleh upaya untuk memulihkan build tersebut setelah membersihkan sistem yang terinfeksi," pungkasnya.