Plusieurs applications Android disponibles sur le Google Play Store ont été infectés par le malware ‘ExpensiveWall’ qui tire son nom d’une des applications utilisé par le malware : ‘Lovely Wallpaper’. Selon les données collectées par Google, le malware aurait infecté plus de 50 applications du Play Store.
Le malware souscrit à l’insu de l’utilisateur à des services payants sur Internet et procède à l’envoi de SMS surtaxés vers des services frauduleux. Il dispose également de la capacité à cliquer sur la plupart des publicités accessibles depuis le navigateur et se classe donc dans la catégorie des adware. On estime actuellement son nombre de téléchargements à entre 1 et 4 millions de téléchargements.
Sa spécificité est d’utiliser des techniques de ‘packing’ pour obfusquer son code source et le rendre inintelligible par la plupart des solutions antivirus, y compris celles nativement implémentées dans le Play Store, lui permettant ainsi d’être publié en tant qu’application légitime.
Le malware a été reporté par Checkpoint le 7 août 2017 à Google qui a rapidement enlevé tous les échantillons répertoriés dans son Play Store, cependant les utilisateurs ayant installé l’application avant sa suppression ou via des stores alternatifs sont toujours considérés à risques tant qu’ils n’ont pas désinstallé l’application.
Impact
- Souscription à des services payants
- Envoi de SMS surtaxés
Composants & versions vulnérables
Android
Correctif
Les utilisateurs ayant téléchargé et exécuté l’application doivent la supprimer de leur terminal mobile.
Il est également recommandé de procéder à une restauration du téléphone à une date antérieure à l’infection s’il existe une sauvegarde de celui-ci.
Solution de contournement
Il n’existe pas à ce jour de solutions de contournement alternatives.