Троянец, получивший название Android.GPStrack.1.origin, распространяется на страницах различных каталогов мобильных приложений под видом программ, которые используют в своей работе функции глобального позиционирования. К ним относятся навигаторы, картографические сервисы, приложения служб доставки товаров и продуктов питания. Именно поэтому у большинства пользователей не вызывает никаких подозрений требование такой программы предоставить ей доступ к данным GPS-трекера, которое она демонстрирует на экране в процессе своей установки.
Запустившись на мобильном устройстве, Android.GPStrack.1.origin обращается к стандартному компоненту операционной системы android.location.LocationManager, предназначенному для взаимодействия с подсистемой GPS смартфона или планшета. Этот компонент использует в своей работе метод getLastKnownLocation. Если GPS-трекер возвращает приложению определенные географические координаты, указанная функция позволяет выполнить в памяти устройства произвольный код, переданный ей в качестве параметра в виде HEX-строки — таким образом злоумышленники получают возможность запустить на инфицированном гаджете любой код. Уязвимость, получившая наименование GpsLocationManager, актуальна для всех версий операционной системы Android начиная с 4.1.
При получении от GPS-трекера определенных географических координат Android.GPStrack.1.origin отправляет на свой управляющий сервер информацию о зараженном устройстве, включающую его модель, версию операционной системы, а также IMEI-идентификатор, после чего по команде злоумышленников загружает и устанавливает в системе другие вредоносные приложения. В настоящий момент известно более двухсот значений географических координат, способных вызвать срабатывание троянца. В частности, такими координатами являются 53°13′18″ с. ш. 33°26′03″ в. д. — если пользователь включит GPS-трекер в этой географической точке, после установки связи со спутниками его устройство окажется инфицированным. Чем был обусловлен выбор столь отдаленного от цивилизации населенного пункта, можно только догадываться.
Следует отметить, что если устройство оснащено отечественной системой глобального позиционирования ГЛОНАСС, злоумышленники не могут использовать уязвимость в операционной системе Android.
В качестве «полезной нагрузки» Android.GPStrack.1.origin загружает и устанавливает на уязвимом устройстве приложение, детектируемое Антивирусом Dr.Web как Joke.Locker.2.origin. Эта программа является поделкой китайских разработчиков: при запуске она блокирует экран, выводит на него изображение страшной физиономии и включает в бесконечном цикле тревожную музыку. Через произвольные промежутки времени из динамика Android-устройства раздаются душераздирающие вопли, что может стать для пользователя крайне неприятным сюрпризом, особенно если он находится в офисе, в транспорте или в других общественных местах.
Компания «Доктор Веб» призывает пользователей ОС Android проявлять осторожность и не загружать какие-либо программы из сомнительных источников. Все упомянутые вредоносные приложения успешно детектируются Антивирусом Dr.Web для Android, а информация об уязвимости в компоненте android.location.LocationManager передана разработчикам ОС.