Check Point发现一款Android恶意软件“ExpensiveWall”，该名称根据其用来传播的应用程序中的其中一款命名，这款应用为墙纸应用“Lovely Wallpaper”。

ExpensiveWall包含Payload，能为受害者注册付费在线服务，并从设备发送付费短信息。这款恶意软件存在于Play Store 50款应用中(这些应用的下载量为100万-420万)。

恶意软件“ExpensiveWall”作用过程

Check Point研究人员在分析中指出，旗下移动威胁研究团队发现一款安卓恶意软件新变种，会发送欺诈付费短信息，悄悄注册虚假服务收取费用。

安全研究人员对这款恶意软件并不陌生。McAfee的恶意软件研究员今年1月率先在Play Store中发现此漏洞，但他们强调Payload大相径庭。

ExpensiveWall开发人员加密并压缩了恶意代码，从而成功绕过谷歌的自动检查程序。一旦受害者安装这款墙纸应用，便会请求取得权限访问互联网并接收短信，之后，ExpensiveWall向C&C服务器发送设备信息，包括位置、MAC和IP地址、IMSI和IMEI号。反过来，这个C&C服务器会向ExpensiveWall发送一个URL——在嵌入式WebView窗口中打开，并下载JavaScript代码发送付费短信。

为何多个应用都存在这一问题?

Check Point的研究人员表示，恶意代码作为软件开发工具“GTK”传播至不同的应用程序。

研究人员分析这款恶意软件的不同样本后认为，ExpensiveWall作为GTK(开发人员将GTK嵌入自己的应用程序中)传播至不同的应用程序。包含该恶意代码的应用有三个版本：

Unpacked版本，今年早些时候被发现。

Packed版本，即本文讨论的版本。

包含代码但不会主动使用。

5000台设备或受影响

Check Point 8月7号向谷歌报告了这一发现，谷歌立即从Google Play移除了这些恶意应用。然而，受影响的应用程序被移除之后，研究人员在Google Play中发现另一个样本，而在移除之前，可能影响了超过5000台设备。

Check Point表示，虽然ExpensiveWall目前只用于牟利，但类似的恶意软件能被轻易修改，利用同样的基础设施抓图、录音、甚至窃取敏感数据，并将这些数据发送至C&C服务器。

不幸的是，此类事件频繁发生。6月发起两起这类事件，谷歌一个月内移除了被Ztorg木马感染的恶意应用，而Ztorg能让攻击者获取目标设备的Root权限。

今年4月，数百万更新软件的用户下载了一款隐藏间谍软件“SMSVova”的应用程序。据估计，隐藏SMSVova间谍软件的虚假应用程序于2014年上传至Google Play，下载次数介于100万-500万。