Исследователи из Check Point выяснили, что через Google Play распространялось более 50 приложений, заражённых вирусом ExpensiveWall. В общей сложности они были установлены от 1 до 4,2 миллиона раз (в Google Play нет точной статистики).
В Expensive Wall предусмотрен интерфейс между действиями в приложении и кодом JavaScript, выполняемым через веб-интерфейс WebView. Другими словами, код JavaScript, работающий через WebView, может вызывать операции в приложении. После установки и получения нужных разрешений Expensive Wall отправляет сведения о зараженном устройстве на свой командный сервер, в том числе информацию о его местоположении и уникальные идентификаторы, такие как MAC- и IP-адреса, IMSI и IMEI.
Приложения с Expensive Wall запрашивают доступ к интернету и SMS, благодаря чему могут подписывать пользователей на платные сервисы и отправлять SMS-сообщения на премиум-номера.