Вредоносное ПО распространялось в Google Play, маскируясь под обычные приложения.
Новое вредоносное ПО семейства Autolycos было обнаружено ИБ-специалистом компании Evina Максиме Инграо в 8 приложениях, находившихся в Google Play . На данный момент все вредоносные приложения удалены из магазина приложений.
Ниже представлен список вредоносных приложений и их количество загрузок:
Vlog Star Video Editor – 1 миллион загрузок;
Creative 3D Launcher – 1 миллион загрузок;
Funny Camera – 500 000 загрузок;
Wow Beauty Camera – 100 000 загрузок;
Gif Emoji Keyboard – 100,000 загрузок;
Razer Keyboard & Theme – 50 000 загрузок;
Freeglow Camera 1.0.0 – 5,000 загрузок;
Coco Camera v1.1 – 1,000 загрузок.
И хотя Инграо сообщил о них в июне 2021 года Google удалила вредоносные приложения только через 6 месяцев после сообщения специалиста.
Оказавшись в системе жертвы, Autolycos запускается на фоне, стараясь оставаться незамеченным. Например, вредонос начинает переходить по различным URL-адресам в удаленном браузере, а затем включает результат в HTTP-запросы, заменяя собой Webview. Кроме этого, Autolycos при установке на устройство запрашивает разрешение на чтение СМС-сообщений.
Известно, что для продвижения своих приложений с вредоносным ПО операторы Autolycos запускали многочисленные рекламные кампании в соцсетях. Только для Razer Keyboard & Theme Инграо насчитал 74 рекламные кампании в Facebook.