8 applications Android, dont certaines téléchargées plus de 1 million de fois, hébergeaient un malware qui pouvait abonner les utilisateurs à des services qu'il n'avait pas demandés.
Autolycos est un nouveau type de malware qui sévit sur l'écosystème Android. Dangereux pour votre porte-monnaie, il a été repéré dans au moins 8 applications populaires du Google Play Store.
De la pub Facebook et des notes données par des robots
Maxime Ingrao, le chercheur en cybersécurité qui a identifié le malware et ses sources d'hébergement, explique qu'il s'agit d'un logiciel malveillant qui vise à discrètement abonner les victimes à des services payants. Généralement, les applications vérolées demandent l'autorisation de lire les SMS du smartphone.
Pour rester furtif et ne pas se faire détecter, Autolycos exécute les URL sur un navigateur distant, avant d'inclure le résultat dans des requêtes HTTP, plutôt que de passer par Webview.
Les pirates faisaient la promotion des applications hébergeant le malware via des campagnes publicitaires sur Facebook. Au moins 74 publications promotionnelles mises en avant par le réseau social ont été recensées. Des bots s'assuraient ensuite que l'application était bien notée sur le Play Store. Cette stratégie a bien fonctionné, puisque les 8 applications concernées ont été téléchargées près de 3 millions de fois en cumulé.
Un retrait tardif du Play Store
Si vous avez téléchargé et installé l'une de ces apps sur votre mobile, supprimez-la immédiatement. Voici la liste des applications vérolées, dont deux d'entre elles dépassent le million d'installations :
- Vlog Star Video Editor : 1 million de téléchargements
- Creative 3D Launcher : 1 million de téléchargements
- Funny Camera : 500 000 téléchargements
- Wow Beauty Camera : 100 000 téléchargements
- GIF Emoji Keyboard : 100 000 téléchargements
- Razer Keyboard & Theme : 50 000 téléchargements
- Freeglow Camera 1.0.0 : 5 000 téléchargements
- Coco Camera v1.1 : 1 000 téléchargements
Travaillant pour la société Evina, spécialisée dans la cybersécurité pour le paiement mobile et la publicité, Maxime Ingrao explique avoir averti Google de l'existence de ce malware dès juin 2021. Mais la firme de Mountain View a pris son temps et n'a supprimé que 6 des 8 applications six mois plus tard.
Pire, deux d'entre elles sont restées disponibles sur le Play Store jusqu'à très récemment, lorsque le chercheur a finalement décidé de rendre publiques ses découvertes, forçant ainsi la main à Google pour agir.
Source : Bleeping Computer
