Malgré l'ajout de sécurités et le screening des applications mobiles entrant dans le portail Google Play Store, il arrive que certains malwares parviennent à déjouer les mailles du filet.
C'est le cas de ExpensiveWall, un malware Android repéré par les chercheurs de Check Point et caché dans des applications diffusées sur le portail de téléchargement, parfois téléchargées plusieurs millions de fois.
Lovely Wallpaper, application infectée d'où ExpensiveWall tire son nom
Une cinquantaine d'applications auraient été concernées (avant d'être retirées) et auraient été téléchargées entre 1 et 4 millions de fois. Check Point note que dans les jours qui ont suivi le retrait d'une première application infectée, une seconde application a été diffusée sur le portail, permettant d'infecter 5000 appareils mobiles avant un nouveau retrait.
Des applications infectées dans le Google Play Store
ExpensiveWall parvient à tromper les sécurités de Google en utilisant une technique de masquage au sein des applications mobiles qui servent de véhicules. Le malware a ensuite besoin de permissions pour agir mais il les obtient lorsque l'utilisateur valide les permissions de l'application mobile, qui semblent à première vue légitimes, surtout dans l'espace de confiance représenté par le Google Play Store.
L'un des problèmes est que même après son retrait, le malware peut rester actif sur les appareils Android les plus anciens, faute d'être compatibles avec les outils de protection les plus récents de Google.
SMS surtaxés
Une fois en place, il récupère des données personnelles commel l'identifiant et le numéro de téléphone pour envoyer des SMS surtaxés via du code javascript. S'il s'agit de son objectif principal dans les exemples repérés par Check Point, il pourrait tout aussi bien embarquer une charge malicieuse capable de prendre un contrôle à distance du smartphone infecté.
Bien que discret, le comportement du malware a tout de même été repéré par divers utilisateurs qui ont laissé des commentaires assassins. L'origine d'ExpensiveWall proviendrait d'un SDK baptisé gtk et intégré dans certaines applications.