Android-троянец распространяется с помощью спутников GPS

unnamed

Сообщения об обнаружении различных уязвимостей в программах, использующих для работы систему GPS, появлялись в СМИ и ранее. Ассортимент устройств, использующих модули глобального позиционирования, продолжает активно расширяться. Сегодня практически все планшеты и смартфоны используют встроенные навигаторы. Синхронно увеличивается и интерес к данным устройствам со стороны злоумышленников разного уровня. Специалисты «Доктор Веб» недавно обнаружили Android-вирус, использующий для атаки уязвимость в модуле Android, отвечающем за работу системы GPS.

Троянскую программу Android.GPStrack.1.origin злоумышленники распространяют через различные каталоги мобильного ПО, выдавая ее за приложения, использующие возможности глобального позиционирования. К данной категории относятся различные картографические сервисы, утилиты служб доставки товаров, навигаторы. Приложения довольно популярные сегодня, поэтому большинство пользователей не задумываясь разрешают им доступ к данным встроенного GPS-трекера.

GPS

После активации на мобильном устройстве вредоносная программа обращается к компоненту android.location.LocationManager (обеспечивает взаимодействие с GPS-подсистемой). Данный компонент использует в процессе работы метод getLastKnownLocation. Когда трекер возвращает программе определенные координаты, упомянутая функция дает возможность выполнить в ОЗУ произвольный программный код (передается в качестве параметра и имеет вид HEX-строки).

Эта особенность позволяет злоумышленникам запустить на зараженном устройстве любой код (включая вредоносный). Уязвимость, получившая название GpsLocationManager присутствует в современных версиях Android, начиная с индекса 4.1.

После получения от GPS-модуля определенных координат утилита Android.GPStrack.1.origin отсылает на внешний сервер детальную информацию о взломанном мобильном устройстве. Далее после команды злоумышленников вредоносная программа загружает и инсталлирует в систему другие вредоносные файлы. Специалистам в настоящее время известны более двухсот географических координат, способных активировать троянскую программу. Чем обусловлены используемые координаты непонятно (многие из них соответствуют небольшим населенным пунктам).

В качестве «дополнения» вредоносная программа устанавливает на атакованное устройство утилиту, которая занесена в базы как Joke.Locker.2.origin. Вирус способен заблокировать дисплей, демонстрируя страшную физиономию, а также постоянно воспроизводит тревожную музыку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *