Исследователи из Check Point выяснили, что через Google Play распространялось более 50 приложений, зараженных вирусом ExpensiveWall.
В целом они были установлены от 1 до 4,2 миллиона раз (в Google Play нет точной статистики).
В ExpensiveWall используется техника обфускации кода: вирус сжимается и шифруется, из-за чего антивирусы не могут его опознать. Зараженные этим вреден приложения были удалены еще в начале августа, однако через несколько дней ExpensiveWall появился в новых программах и долгое время оставался незамеченным. В Expensive Wall предусмотрен интерфейс между действиями в приложении и кодом JavaScript, выполняемых через веб-интерфейс WebView. Другими словами, код JavaScript, который работает через WebView, может вызвать операции в приложении. После установки и получения необходимых разрешений Expensive Wall отправляет сведения о зараженном устройстве на свой командный сервер, в том числе информацию о его местонахождении и уникальные идентификаторы, такие как MAC- и IP-адреса, IMSI и IMEI. Приложения с Expensive Wall запрашивают доступ к интернету и SMS, благодаря чему могут подписывать пользователей на платные сервисы и отправлять SMS-сообщения на премиум-номера.