Si les systèmes de vérification d'apps des boutiques d'Apple et de Google rejettent une majorité des malwares, ils restent loin d'être infaillibles. Sur le Play Store, un cheval de Troie baptisé Autolycos a réussi à passer entre les mailles du filet et a été téléchargé plus de 3 millions de fois. Selon le chercheur en cybersécurité Maxime Ingrao, il se cachait dans 8 applications aux fonctions diverses (filtres pour caméra, éditeurs de vlog, claviers originaux…).
Une fois sur le téléphone, ces apps peuvent discrètement inscrire l'utilisateur à des services payants bidon. Elles peuvent agir sans que les pages web ne soient visibles à l'écran, et demandent également l'accès à la lecture des SMS. Les 8 programmes concernées sont : Vlog Star Video Editor, Creative 3D Launcher, Wow Beauty Camera, Gif Emoji Keyboard, Razer Keyboard & Theme, Funny Camera, Freeglow Camera et Coco Camera.
Les créateurs d'Autolycos ont monté de nombreuses campagnes publicitaires sur les réseaux sociaux afin de faire connaître leurs apps vérolées. Le chercheur explique en avoir recensé plus de 70 pour la seule application « Razer Keyboard & Theme ». Pour rassurer les potentielles victimes, les notes de la fiche Play Store ont été bidonnées à l'aide de robots multipliant les retours élogieux.
Le problème a été découvert en juin 2021 avant d'être remonté à Google dans la foulée. L'entreprise a visiblement pris son temps avant de se bouger : si elle a bien supprimé les 8 applications incriminées, deux d'entre elles étaient encore trouvables sur le Play Store la semaine dernière.
Du côté d'Apple, certains malwares ont réussi à outrepasser les vérifications de l'App Store par le passé afin de se glisser sur la boutique. On peut penser à XcodeGhost, une version vérolée de Xcode permettant de compiler des apps infectées : celles-ci étaient ensuite validées sans soucis par Cupertino. L'année dernière, le Washington Post révélait que 2 % des 1 000 apps connaissant la croissance la plus forte dans l'App Store s'avéraient être des pièges pour les utilisateurs.
Source : Bleeping Computer
