Il y a plus de cinq ans, Google lançait Play Protect , le système de sécurité et de contrôle des applications installées qui devrait garantir " la tranquillité d'esprit dans la paume de la main " des utilisateurs d' Android . Comme nous le savons tous, malheureusement, certains logiciels malveillants (voir l' infâme Joker ) parviennent toujours à surmonter le maillage de défense du Play Store et à atteindre nos appareils. C'est le cas de ce nouveau logiciel, découvert par le chercheur en sécurité Maxime Ingrao et nommé Aucolycos, qui s'est retrouvé dans 8 applications (désormais supprimées) totalisant au total trois millions de téléchargements .

Voici la liste des applications :

Vlog Star Video Editor (com.vlog.star.video.editor, 1 million de téléchargements)
Creative 3D Launcher (app.launcher.creative3d, 1 million de téléchargements)
Appareil photo Wow Beauty (com.wowbeauty.camera, 100 000 téléchargements)
Clavier Emoji Gif (com.gif.emoji.keyboard, 100 000 téléchargements)
Clavier et thème Razer (com.razer.keyboards, 10 000 téléchargements)
Caméra Freeglow 1.0.0 (com.glow.camera.open, 5 000 téléchargements)
Coco Camera v1.1 (com.toomore.cool.camera, 1 000 téléchargements)

Le fonctionnement d' Autolycos est le suivant. Une fois en opération, le logiciel malveillant charge les URL sur un navigateur distant et inclut le résultat dans les requêtes HTTP au lieu d'utiliser Webview. Le plus inquiétant est qu'il nécessite une autorisation pour lire le contenu des SMS , afin que les applications infectées puissent avoir accès aux messages texte , et donc aux codes d'authentification à deux facteurs . Les applications malveillantes ont été largement promues par le biais de campagnes publicitaires sur les réseaux sociaux (pour l'application clavier sur le thème Razer uniquement, Ingrao a compté 74 campagnes publicitaires sur Facebook), la plupart sur Facebook. Les utilisateurs ont été incités à les télécharger avec la promesse de thèmes de clavier , de jolis lanceurs et d'applications pour appareils photo avec des filtres sympas . Maxime Ingrao a déclaré avoir averti Google en juin 2021 , mais il a fallu des mois à l'entreprise pour reconnaître la véracité du rapport et agir en conséquence.