Android-троянец распространяется с помощью спутников GPS

Вместе с тем, ассортимент оборудованных GPS-приемником мобильных устройств растет день ото дня: сегодня уже трудно отыскать планшетный компьютер или смартфон без встроенного навигатора. Увеличивается и интерес к подобным устройствам со стороны злоумышленников. Специалисты компании «Доктор Веб» обнаружили Android-троянца, использующего для заражения смартфонов и планшетов уязвимость в одном из отвечающих за работу с GPS компонентов операционной системы Google Android.

Троянец, получивший название Android.GPStrack.1.origin, распространяется на страницах различных каталогов мобильных приложений под видом программ, которые используют в своей работе функции глобального позиционирования. К ним относятся навигаторы, картографические сервисы, приложения служб доставки товаров и продуктов питания. Именно поэтому у большинства пользователей не вызывает никаких подозрений требование такой программы предоставить ей доступ к данным GPS-трекера, которое она демонстрирует на экране в процессе своей установки.

Запустившись на мобильном устройстве, Android.GPStrack.1.origin обращается к стандартному компоненту операционной системы android.location.LocationManager, предназначенному для взаимодействия с подсистемой GPS смартфона или планшета. Этот компонент использует в своей работе метод getLastKnownLocation. Если GPS-трекер возвращает приложению определенные географические координаты, указанная функция позволяет выполнить в памяти устройства произвольный код, переданный ей в качестве параметра в виде HEX-строки — таким образом злоумышленники получают возможность запустить на инфицированном гаджете любой код. Уязвимость, получившая наименование GpsLocationManager, актуальна для всех версий операционной системы Android начиная с 4.1.

При получении от GPS-трекера определенных географических координат Android.GPStrack.1.origin отправляет на свой управляющий сервер информацию о зараженном устройстве, включающую его модель, версию операционной системы, а также IMEI-идентификатор, после чего по команде злоумышленников загружает и устанавливает в системе другие вредоносные приложения. В настоящий момент известно более двухсот значений географических координат, способных вызвать срабатывание троянца. В частности, такими координатами являются 53°13′18″ с. ш. 33°26′03″ в. д. — если пользователь включит GPS-трекер в этой географической точке, после установки связи со спутниками его устройство окажется инфицированным. Чем был обусловлен выбор столь отдаленного от цивилизации населенного пункта, можно только догадываться. Вот ещё несколько координат, по загадочным причинам вызывающих загрузку троянской программы:

Широта Долгота
42°3′42″N (42.061559) 25°54′23″E (25.906326)
48°24′15″N (48.404293) 40°17′15″E (40.287563)
44°24′5″N (44.401394) 18°46′46″E (18.779389)
17°20′9″S (-17.335876) 31°17′26″E (31.290648)
44°20′30″N (44.341625) 103°50′11″W (-103.836506)
41°55′38″N (41.927112) 74°47′58″W (-74.799354)
42°53′17″N (42.887986) 24°42′47″E (24.712986)
25°45′16″S (-25.754454) 28°19′37″E (28.326962)

Следует отметить, что если устройство оснащено отечественной системой глобального позиционирования ГЛОНАСС, злоумышленники не могут использовать уязвимость в операционной системе Android.


В качестве «полезной нагрузки» Android.GPStrack.1.origin загружает и устанавливает на уязвимом устройстве приложение, детектируемое Антивирусом Dr.Web как Joke.Locker.2.origin. Эта программа является поделкой китайских разработчиков: при запуске она блокирует экран, выводит на него изображение страшной физиономии и включает в бесконечном цикле тревожную музыку. Через произвольные промежутки времени из динамика Android-устройства раздаются душераздирающие вопли, что может стать для пользователя крайне неприятным сюрпризом, особенно если он находится в офисе, в транспорте или в других общественных местах.