Исследователи из Check Point выяснили, что через Google Play распространялось более 50 приложений, заражённых вирусом ExpensiveWall. В общей сложности они были установлены от 1 до 4,2 миллиона раз (в Google Play нет точной статистики).
В ExpensiveWall используется техника обфускации кода: вирус сжимается и шифруется, из-за чего антивирусы не могут его опознать. Заражённые этим вредоносом приложения были удалены ещё в начале августа, однако через несколько дней ExpensiveWall появился в новых приложениях и долгое время оставался незамеченным.
В Expensive Wall предусмотрен интерфейс между действиями в приложении и кодом JavaScript, выполняемым через веб-интерфейс WebView. Другими словами, код JavaScript, работающий через WebView, может вызывать операции в приложении. После установки и получения нужных разрешений Expensive Wall отправляет сведения о зараженном устройстве на свой командный сервер, в том числе информацию о его местоположении и уникальные идентификаторы, такие как MAC- и IP-адреса, IMSI и IMEI.
Приложения с Expensive Wall запрашивают доступ к интернету и SMS, благодаря чему могут подписывать пользователей на платные сервисы и отправлять SMS-сообщения на премиум-номера.