Специалисты «Доктор Веб» обнаружили Android-троянца, распространяющегося с помощью GPS

Ассортимент оборудованных GPS-приемником мобильных устройств растет день ото дня, несмотря на частые сообщения о выявлении различных уязвимостей в приложениях, использующих систему глобального позиционирования. Увеличивается интерес к подобным устройствам и со стороны злоумышленников. Специалисты компании «Доктор Веб» обнаружили Android-троянца, использующего для заражения смартфонов и планшетов уязвимость в одном из отвечающих за работу с GPS компонентов операционной системы Google Android.

Троянец, получивший название Android.GPStrack.1.origin, распространяется на страницах различных каталогов мобильных приложений под видом программ, которые используют в своей работе функции глобального позиционирования. К ним относятся навигаторы, картографические сервисы, приложения служб доставки товаров и продуктов питания. Именно поэтому у большинства пользователей не вызывает никаких подозрений требование такой программы предоставить ей доступ к данным GPS-трекера, которое она демонстрирует на экране в процессе своей установки.

Запустившись на мобильном устройстве, Android.GPStrack.1.origin обращается к стандартному компоненту операционной системы android.location.LocationManager, предназначенному для взаимодействия с подсистемой GPS смартфона или планшета. Этот компонент использует в своей работе метод getLastKnownLocation. Если GPS-трекер возвращает приложению определенные географические координаты, указанная функция позволяет выполнить в памяти устройства произвольный код, переданный ей в качестве параметра в виде HEX-строки — таким образом злоумышленники получают возможность запустить на инфицированном гаджете любой код. Уязвимость, получившая наименование GpsLocationManager, актуальна для всех версий операционной системы Android начиная с 4.1.

Получив от GPS-трекера определенные географические координаты, Android.GPStrack.1.origin отправляет на свой управляющий сервер информацию о зараженном устройстве, включающую его модель, версию операционной системы, а также IMEI-идентификатор, после чего по команде злоумышленников загружает и устанавливает в системе другие вредоносные приложения. В настоящий момент известно более двухсот значений географических координат, способных вызвать срабатывание троянца.

Интересно, что, если устройство оснащено отечественной системой глобального позиционирования ГЛОНАСС, злоумышленники не могут использовать уязвимость в операционной системе Android. В качестве «полезной нагрузки» Android.GPStrack.1.origin загружает и устанавливает на уязвимом устройстве приложение, детектируемое антивирусом Dr.Web как Joke.Locker.2.origin. Эта программа изготовлена китайскими разработчиками: при запуске она блокирует экран, выводит на него изображение страшной физиономии и включает в бесконечном цикле тревожную музыку. Через произвольные промежутки времени из динамика Android-устройства раздаются душераздирающие вопли, что может стать для пользователя крайне неприятным сюрпризом, особенно если он находится в офисе, в транспорте или в других общественных местах.

Компания «Доктор Веб» призывает пользователей ОС Android проявлять осторожность и не загружать какие-либо программы из сомнительных источников.

Поделиться с друзьями
ASTERA