Троян Android.GPStrack.1.origin маскируется в каталогах приложений под программы, использующие GPS, такие как, навигаторы, картографические сервисы, приложения служб доставки товаров и продуктов питания. Это позволяет запросить у пользователя доступ к данным GPS-трекера, не вызывая подозрений.
После установки Android.GPStrack.1.origin обращается к стандартному компоненту операционной системы android.location.LocationManager, предназначенному для взаимодействия с подсистемой GPS на устройстве. Этот компонент использует в своей работе метод getLastKnownLocation. Если GPS-трекер возвращает приложению определенные географические координаты, указанная функция позволяет выполнить в памяти устройства произвольный код, переданный ей в качестве параметра в виде HEX-строки. В результате можно запустить на инфицированном гаджете любой код. Уязвимость актуальна для всех версий операционной системы Android начиная с 4.1. Android.GPStrack.1.origin отправляет на управляющий сервер информацию о зараженном устройстве, включающую его модель, версию операционной системы, а также IMEI-идентификатор, затем по команде злоумышленников загружает и устанавливает в системе другие вредоносные приложения. В настоящий момент известно более двухсот значений географических координат, способных вызвать срабатывание троянца. В частности, такими координатами являются 53°13′18″ с. ш. 33°26′03″ в. д. — если пользователь включит GPS-трекер в этой географической точке, после установки связи со спутниками его устройство окажется инфицированным.
Источник: Доктор Веб
