קטגוריות של תוכנות זדוניות

המדיניות שלנו בנושא תוכנות זדוניות פשוטה, הסביבה העסקית של Android, כולל חנות Google Play, ומכשירי המשתמשים צריכים להיות נקיים מפעולות זדוניות (לדוגמה, תוכנות זדוניות). באמצעות עיקרון בסיסי זה, אנחנו שואפים לספק סביבה עסקית בטוחה ב-Android למשתמשים שלנו ולמכשירי Android שלהם.

תוכנה זדונית היא כל קוד שעלול לסכן את המשתמש, את הנתונים של המשתמש או את המכשיר. תוכנות זדוניות כוללות, בין היתר, אפליקציות שעלולות להזיק (PHA), תוכנות בינאריות או שינויים של framework, ומסווגות לקטגוריות כמו סוסים טרויאנים, פישינג ורוגלות. אנחנו מעדכנים ומוסיפים קטגוריות חדשות כל הזמן.

יש סוגים שונים של תוכנות זדוניות, עם יכולות שונות, אבל לכולן יש בדרך כלל אחת מהמטרות הבאות:

  • לפגוע בתקינות המכשיר של המשתמש.
  • שליטה במכשיר של המשתמש.
  • לאפשר פעולות בשליטה מרחוק כדי שהתוקף יוכל לגשת למכשיר שנפגע, להשתמש בו או לנצל אותו לרעה בדרך אחרת.
  • להעביר מידע אישי או פרטי כניסה מהמכשיר ללא גילוי נאות והסכמה מתאימים.
  • להפיץ ספאם או פקודות מהמכשיר הנפגע כדי להשפיע על מכשירים או רשתות אחרים.
  • לרמות את המשתמש.

שינוי של אפליקציה, קובץ בינארי או מסגרת יכולים לגרום נזק, ולכן הוא עלול ליצור התנהגות זדונית, גם אם השינוי לא נועד להזיק להם. הסיבה לכך היא שאפליקציות, קבצים בינאריים או שינויים של framework יכולים לפעול באופן שונה, בהתאם למגוון משתנים. לכן, רכיבים שמזיקים למכשיר Android אחד לא עלולים לסכן כלל את מכשיר Android אחר. לדוגמה, מכשיר שבו פועלת הגרסה האחרונה של Android לא מושפע מאפליקציות מזיקות שמשתמשות בממשקי API שהוצאו משימוש כדי לבצע התנהגות זדונית, אבל מכשיר שבו עדיין פועלת גרסה מוקדמת מאוד של Android עלול להיות בסיכון. אפליקציות, קבצים בינאריים או שינויים ב-framework מסומנים כתוכנות זדוניות או כ-PHA אם הם נחשבים בבירור לסכן בחלק ממכשירי Android והמשתמשים, או כולם.

הקטגוריות של התוכנות הזדוניות שמפורטות בהמשך משקפות את האמונה הבסיסית שלנו, שהמשתמשים צריכים להבין את אופן השימוש במכשיר שלהם ולקדם סביבה עסקית מאובטחת שמאפשרת חדשנות מתקדמת וחוויית משתמש מהימנה.

קטגוריות של תוכנות זדוניות

אחוריים

אחוריים

קוד שמאפשר לבצע במכשיר פעולות לא רצויות שעלולות לגרום נזק,

הפעולות האלה עשויות לכלול התנהגות שתהפוך את האפליקציה, את הקובץ הבינארי או את ה-framework לאחת מהקטגוריות האחרות של התוכנות הזדוניות, אם הן יבוצעו באופן אוטומטי. באופן כללי, Backdoor הוא תיאור של האופן שבו פעולה שעלולה להיות מזיקה במכשיר, ולכן לא תואמת לחלוטין לקטגוריות כמו הונאת חיוב או רוגלות מסחריות. כתוצאה מכך, בנסיבות מסוימות מערכת Google Play Protect מחשיבה נקודות חולשה של דלתות אחוריות.

הונאת חיובים

הונאת חיובים

קוד שטוען את המשתמש באופן אוטומטי תוך הטעיה מכוונת.

הונאת חיוב דרך מכשיר נייד מחולקת להונאת SMS, הונאת שיחות והונאות שיחה.

הונאת SMS

קוד שחייב את המשתמשים לשלוח הודעות SMS פרימיום ללא הסכמה, או שמנסה להסוות את פעילויות ה-SMS על ידי הסתרה של הסכמי גילוי נאות או הודעות SMS מספק השירות הסלולרי, כלומר, הודעה למשתמשים על חיובים או אישור מינויים.

חלק מהקודים, למרות שמבחינה טכנית הם חושפים התנהגות בשליחת הודעות SMS, כוללים התנהגות נוספת שמאפשרת הונאת SMS. לדוגמה, הסתרה של חלקים מהסכם גילוי נאות מהמשתמשים, הפיכתם לבלתי קריאים והסתרה מותנית של הודעות SMS מהמפעיל הסלולרי כדי להודיע למשתמש על חיובים או על אישור המינוי.

הונאת שיחות

קוד שמחייב משתמשים על ידי ביצוע שיחות למספרי פרימיום ללא הסכמת המשתמשים.

הונאת תשלום

קוד שגורם למשתמשים להירשם או לרכוש תוכן באמצעות חשבון הטלפון הנייד שלהם.

הונאת תשלום כוללת כל סוג של חיוב, למעט הודעות SMS ושיחות פרימיום. דוגמאות לנתונים כאלה: חיוב ישיר על ידי ספק, פרוטוקול של אפליקציות אלחוטיות (WAP) והעברה בזמן אוויר בנייד. הונאת WAP היא אחד מסוגי ההונאות הנפוצים ביותר. הונאת WAP יכולה לכלול הטעיית משתמשים כדי שילחצו על לחצן ב-WebView שקוף שנטען במצב שקט. לאחר ביצוע הפעולה, מתחיל מינוי מתחדש, ובדרך כלל הודעת האישור או הודעת האישור ב-SMS נפרצו כדי למנוע מהמשתמשים לשים לב לעסקה הפיננסית.

תוכנת מעקב

תוכנת מעקב (רוגלה מסחרית)

קוד שאוסף ו/או מעביר נתוני משתמשים אישיים או רגישים מהמכשיר, ללא התראה או הסכמה מתאימות, ושלא מוצגת בו התראה מתמשכת על כך שהנתונים נאספים.

אפליקציות ניטור מטרגטות את המשתמשים במכשירים על ידי ניטור של נתוני משתמשים אישיים או רגישים, ושידור או הפיכת הנתונים לנגישים לצדדים שלישיים.

אפליקציות שמיועדות ומשווקות רק להורים כדי לעקוב אחרי ילדיהם או ניהול הארגון, בתנאי שהן עומדות בכל הדרישות שמפורטות בהמשך הן אפליקציות המעקב הקבילות היחידות. אסור להשתמש באפליקציות האלה כדי לעקוב אחרי אנשים אחרים (לדוגמה, בני זוג), גם אם אותם אנשים מודעים לכך ונותנים לכך הרשאה וגם אם מוצגת התראה קבועה בנוגע לכך.

מניעת שירות

התקפת מניעת שירות (DoS)

קוד שמבצע, ללא ידיעת המשתמש, התקפת מניעת שירות (DoS) או חלק מהתקפת מניעת שירות מבוזרת על מערכות ומשאבים אחרים.

לדוגמה, מצב כזה יכול לקרות כששולחים נפח גדול של בקשות HTTP כדי לייצר עומס יתר על שרתים מרוחקים.

משתמשים שיכולים להוריד תוכן זדוני

משתמשים שיכולים להוריד תוכן זדוני

קוד שבפני עצמו לא עלול להזיק, אלא רק מוריד אפליקציות PHA אחרות.

הקוד עלול להיות כלי הורדה עוין אם:

  • יש סיבה לחשוב שהוא נוצר כדי להפיץ אפליקציות שעלולות להזיק (PHA), או שהוא הוריד PHA או מכיל קוד שבאמצעותו ניתן להוריד ולהתקין אפליקציות.
  • לפחות 5% מהאפליקציות שהורדו באמצעות אפליקציה זו הן אפליקציות שעלולות להזיק (PHA) עם סף מינימלי של 500 הורדות של האפליקציה שנצפו (25 הורדות של האפליקציה PHA שתועדו).

דפדפנים גדולים ואפליקציות לשיתוף קבצים לא נחשבים להורדת קבצים עוינים כל עוד:

  • הם לא מעודדים הורדות ללא אינטראקציה עם המשתמש.
  • כל ההורדות של PHA מופעלות על ידי משתמשים שהביעו הסכמה.
איום שלא שייך ל-Android

איום שלא שייך ל-Android

קוד שמכיל איומים שאינם של Android.

האפליקציות האלה לא יכולות לגרום נזק למשתמש או למכשיר Android, אבל הן מכילות רכיבים שעלולים להזיק לפלטפורמות אחרות.

פישינג

פישינג

קוד שנראה כאילו הוא מגיע ממקור מהימן, שמבקש מהמשתמשים פרטי כניסה לאימות או נתוני חיוב ושולח את הנתונים לצד שלישי. הקטגוריה הזו רלוונטית גם לקוד למיירט את ההעברה של פרטי הכניסה של משתמשים במעבר.

בין היעדים הנפוצים לפישינג: פרטי כניסה לבנק, מספרים של כרטיסי אשראי ופרטי כניסה לחשבונות באינטרנט ברשתות חברתיות ובמשחקים.

הסלמת הרשאות (privilege escalation)

ניצול לרעה של הרשאות מורחבות

קוד שמסכן את תקינות המערכת על ידי פריצת ארגז החול של האפליקציה, קבלת הרשאות מורחבות, או שינוי או השבתה של הגישה לפונקציות ליבה הקשורות לאבטחה.

דוגמאות:

  • אפליקציה שמפרה את מודל ההרשאות של Android, או שגונבת פרטי כניסה (כמו אסימוני OAuth) מאפליקציות אחרות.
  • אפליקציות שנעשה בהן שימוש לרעה בתכונות כדי למנוע הסרה או הפסקה שלהן.
  • אפליקציה שמשביתה את SELinux.

אפליקציות עם הסלמת הרשאות (privilege escalation), שלפיה מכשירים ברמה הבסיסית (root) ללא הרשאת משתמש מסווגות כאפליקציות עם הרשאות בסיס.

תוכנת כופר

תוכנת כופר

קוד שכולל שליטה חלקית או נרחבת במכשיר או בנתונים במכשיר, ודורש מהמשתמשים לשלם או לבצע פעולה כדי לשחרר את השליטה.

תוכנות כופר מסוימות מצפינות את הנתונים במכשיר ודורשת תשלום כדי לפענח את הנתונים ו/או להשתמש בתכונות של האדמין במכשיר, כדי שמשתמש רגיל לא יוכל להסיר אותם. דוגמאות:

  • חסימת המשתמש מחוץ למכשיר ודורשת כסף כדי לשחזר את השליטה של המשתמש.
  • הצפנת נתונים במכשיר ודרישות תשלום, לכאורה כדי לפענח את הנתונים.
  • שימוש בתכונות של מנהל מדיניות המכשיר וחסימת הסרה על ידי המשתמש.

יכול להיות שקוד שיופץ עם המכשיר שהמטרה העיקרית שלו היא ניהול מכשירים מסובסד, יוחרגו מקטגוריית תוכנות הכופר, בתנאי שהוא עומד בהצלחה בדרישות לנעילה ולניהול מאובטחים, ובדרישות גילוי נאות ובקשת הסכמה מהמשתמשים.

ביצוע רוט (Root)

ביצוע רוט (Root)

קוד שמבצע את השורש של המכשיר.

יש הבדל בין קוד Rooting שאינו זדוני לבין קוד זדוני. לדוגמה, אפליקציות לביצוע רוט (Root) מאפשרות למשתמש לדעת מראש שהוא עומד להעביר את המכשיר לרמה הבסיסית (root), והן לא מבצעות פעולות אחרות שעלולות להזיק (PHA) שחלות על קטגוריות אחרות של PHA.

אפליקציות זדוניות שמבצעות רוט (Root) לא מודיעות למשתמש שהוא עומד להעביר את המכשיר לרמה הבסיסית (root), או שהן מודיעות לו מראש על תהליך הרוט (Root) וגם מבצעות פעולות אחרות שרלוונטיות לקטגוריות אחרות של אפליקציות שעלולות להזיק (PHA).

ספאם

ספאם

קוד ששולח הודעות לא רצויות לאנשי הקשר של המשתמש, או משתמש במכשיר כממסר ספאם באימייל.


ביצוע רוט (Root)

רוגלה:

קוד שמעביר מידע אישי מהמכשיר ללא הודעה מתאימה או הסכמה מתאימה.

לדוגמה, שידור של אחד מהפרטים הבאים ללא גילוי נאות או באופן שאינו צפוי למשתמש מספיק מספיק כדי להיחשב כרוגלה:

  • רשימת אנשי קשר
  • תמונות וקבצים אחרים מכרטיס ה-SD או שאינם בבעלות האפליקציה
  • תוכן מהאימייל של המשתמש
  • יומן שיחות
  • יומן SMS
  • היסטוריית אתרים או סימניות דפדפן של דפדפן ברירת המחדל
  • מידע מספריות /data/ של אפליקציות אחרות.

התנהגויות שעלולות להיחשב כריגול נגד המשתמש יכולות להיות מסומנות גם כרוגלה. לדוגמה, הקלטת אודיו או הקלטה של שיחות שבוצעו לטלפון, או גניבת נתוני אפליקציות.

טרויאני

טרויאני

קוד שנראה כאילו הוא לא נעים, למשל משחק שנטען שהוא רק משחק אבל מבצע פעולות לא רצויות נגד המשתמש.

הסיווג הזה משמש בדרך כלל בשילוב עם קטגוריות אחרות של אפליקציות שעלולות להזיק (PHA). בסוס טרויאני יש רכיב תמים ורכיב מזיק נסתר. לדוגמה, משחק ששולח הודעות SMS בתשלום מהמכשיר של המשתמש ברקע וללא ידיעתו.

לא נפוץ

לא נפוץ

אפשר לסווג אפליקציות חדשות ונדירות כלא נפוצות אם אין ל-Google Play Protect מספיק מידע כדי להסיר אותן כאפליקציות בטוחות. זה לא אומר שהאפליקציה בהכרח מזיקה, אבל ללא בדיקה נוספת לא ניתן יהיה לנקות אותה כבטוחה.

מיסוך

כלי מסיכה

אפליקציה שבה נעשה שימוש במגוון שיטות התחמקות כדי לשרת למשתמש פונקציונליות שונה או מזויפת. האפליקציות האלה מבצעות אנונימיזציה לעצמן אפליקציות או משחקים חוקיים כך שהן ייראו תמימות לחנויות אפליקציות, והן משתמשות בשיטות כמו ערפול קוד (obfuscation), טעינת קוד דינמי או הסוואה כדי לחשוף תוכן זדוני.

תוכנת מיסוך דומה לקטגוריות אחרות של אפליקציות שעלולות להזיק (PHA), ובעיקר טרויאני, וההבדל העיקרי ביניהן הוא השיטות שמשמשות לערפול הפעילות הזדונית.

תוכנות לא רצויות לנייד (MUwS)

Google מגדירה תוכנה לא רצויה (UwS) כאפליקציות שלא בהכרח תוכנות זדוניות, אלא מזיקות לסביבה העסקית של התוכנה. תוכנות לא רצויות לנייד (MUwS) מתחזות לאפליקציות אחרות או שאוספות לפחות אחת מהאפשרויות הבאות ללא הסכמת המשתמשים:

  • מספר הטלפון של המכשיר
  • כתובת אימייל ראשית
  • מידע על אפליקציות מותקנות
  • מידע על חשבונות של צדדים שלישיים

המעקב אחר MUWS מתבצע בנפרד מהמעקב אחר תוכנות זדוניות. כאן אפשר לראות את הקטגוריות של MUwS.

אזהרות של Google Play Protect

כששירות Google Play Protect מזהה הפרה של המדיניות בנושא תוכנות זדוניות, מוצגת אזהרה למשתמש. מחרוזות אזהרה לגבי כל הפרה זמינות כאן.