Суммарная статистика – до 4,2 миллиона загрузок. Дальнейшее расследование показало, что все скомпрометированные программы содержали SDK с названием gtk. Именно данный компонент и содержит вредоносный модуль ExpensiveWall.

После инсталляции зараженные программы запрашивали у пользователя ряд дополнительных разрешений, включая возможность работать с SMS и подключаться к сети. Далее осуществлялся сбор информации об атакованном устройстве (включая IMEI, IMSI, IP-адрес, MAC) с последующей передачей на внешний сервер. В ответном сообщении от C&C-сервера содержалась инструкция, которая и определяла дальнейшие действия вредоносной программы. Вредоносная утилита способна имитировать клики (данная функция свойственна adware), а также оформлять подписки на платные сервисы, проходя все этапы подтверждения. Входящие сообщения, уведомляющие о подключении новой подписки, ExpensiveWall скрывал от пользователя. В некоторых случаях вредоносная программа демонстрировала поддельную кнопку «Continue», активация которой приводила к отправке платного SMS.

Вирус ExpensiveWall впервые был обнаружен в начале 2017 года компанией McAfee. Позднее эксперты Check Point зафиксировали еще две волны заражения. Последняя вредоносная кампания была оперативно заблокирована.

Общее количество загрузок программ, содержащих данный вредоносный код, составляет 5,9-21,1 миллионов (по статистикекаталога). Пока владельцы опасной программы используют ее исключительно как adware (для получения прибыли). Однако специалисты не исключают, что в будущем ExpensiveWall будет переквалифицирован в классическую spyware.

Понравилась эта новость? Подпишись на нас в соцсетях!