После установки все зараженные приложения запрашивали ряд разрешений, в частности на подключение к интернету и работу с SMS-сообщениями.
Специалисты в первый раз обнаружили вредоносную программу ExpensiveWall к середине зимы этого года. По утверждению исследователей, вредонос содержался в дополнении Lovely Wallpaper и ряде остальных, которые были загружены порядка 4,2 млн раз. Ученые пишут, что вредоносное ПО скрывалось в составе по крайней мере 50 приложений из официального каталога Google Play. За этот период времени разные версии вредоноса были загружены порядка 5,9 млн — 21,1 млн раз.
Google довелось удалить 50 приложений из Play Store после того, как ученые обнаружили, что вирусописателям снова удалось обмануть систему проверки кода. При использовании данной техники вредный код сжимается и шифруется для уклонения от обнаружения.
Израильская компания в сфере кибербезопасности сообщила, что рискованное вредоносное ПО проникло в Google Play, атаковав 21 млн пользователей. По утверждению исследователей, объем заработка, приобретенного злоумышленниками в рамках мошеннической схемы, неизвестен. Указанная программа способна самостоятельно регистрировать установивших пользователей на многообразного рода платных ресурсах. ExpensiveWall содержит интерфейс, который синхронизирует действия в дополнении с кодом JavaScript, работающем в web-интерфейсе WebView. Потом они собирали данные об устройстве (MAC- и IP-адрес, IMSI, IMEI) и передавали эту информацию на удаленный управляющий сервер. Потом командный сервер отсылает вредоносу URL-адрес, тот распаковывается непосредственно в окне WebView, в результате осуществляется загрузка кода jаvascript для реализации злоумышленных действий. Этот малварь использует схему регистрации пользователей на платных ресурсах.