Kategorie złośliwego oprogramowania

Nasze zasady dotyczące złośliwego oprogramowania są proste: ekosystem Androida, łącznie ze Sklepem Google Play, oraz urządzenia użytkowników powinny być wolne od złośliwych działań (np. przez złośliwe oprogramowanie). Kierując się tą podstawową zasadą, staramy się zapewnić użytkownikom i ich urządzeniom z Androidem bezpieczny ekosystem.

Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika, jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy m.in. potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platformy, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana.

Złośliwe oprogramowanie ma różne formy i możliwości, jednak zwykle jest tworzone w jednym z tych celów:

  • naruszenie integralności urządzenia użytkownika;
  • Przejmij kontrolę nad urządzeniem użytkownika.
  • Pozwalaj atakującemu na dostęp do zainfekowanego urządzenia, wykorzystanie go lub w inny sposób wykorzystaj w ramach kontrolowanych operacji.
  • przesyłać z urządzenia danych osobowych ani danych uwierzytelniających bez odpowiedniego informowania i udzielania zgody.
  • rozsyłanie spamu lub poleceń z zainfekowanych urządzeń na inne urządzenia lub sieci.
  • oszukanie użytkownika.

Aplikacja, plik binarny lub modyfikacja platformy mogą być szkodliwe, tzn. mogą wykazywać złośliwe zachowania, nawet jeśli nie taka była intencja ich twórców. Dzieje się tak, ponieważ aplikacje, pliki binarne i modyfikacje platformy mogą działać inaczej w zależności od różnych zmiennych. To, co jest szkodliwe dla jednego urządzenia z Androidem, może wcale nie stanowić zagrożenia dla innego. Na przykład szkodliwe aplikacje, które używają wycofanych interfejsów API do wykonywania złośliwych działań, nie mają wpływu na urządzenie z najnowszą wersją Androida, ale zagrożone może być urządzenie, na którym jest nadal wczesna wersja Androida. Aplikacje, pliki binarne i modyfikacje platformy są oznaczane jako złośliwe oprogramowanie lub potencjalnie szkodliwe aplikacje, jeśli stwarzają wyraźne zagrożenie dla niektórych lub wszystkich urządzeń z Androidem i ich użytkowników.

Poniższe kategorie złośliwego oprogramowania odzwierciedlają nasze podstawowe przekonanie, że użytkownicy powinni rozumieć, w jaki sposób ich urządzenia są wykorzystywane, i promują bezpieczny ekosystem, który umożliwia wprowadzanie gruntownych innowacji i budowanie godnego zaufania użytkownika.

Kategorie złośliwego oprogramowania

Tajny dostęp

Tajny dostęp

Kod, który umożliwia przeprowadzenie na urządzeniu niechcianych, potencjalnie szkodliwych, kontrolowanych zdalnie operacji.

Mogą to być działania, które w przypadku automatycznego wykonania mogłyby spowodować zaliczenie aplikacji, pliku binarnego lub modyfikacji platformy do jednej z kategorii złośliwego oprogramowania. Ogólnie rzecz biorąc, określenie „tajny dostęp” odnosi się do tego, w jaki sposób na urządzeniu może dojść do potencjalnie szkodliwych działań, dlatego nie jest on do końca zgodny z kategoriami takimi jak oszustwa związane z płatnościami czy komercyjne programy szpiegowskie. W związku z tym podzbiór takich zabezpieczeń jest czasem traktowany przez Google Play Protect jako luka w zabezpieczeniach.

Oszustwo związane z płatnościami

Oszustwo związane z płatnościami

Kod, który wprowadza użytkownika w błąd i powoduje automatyczne naliczanie opłat.

Oszustwa związane z płatnościami mobilnymi dzielimy na fałszywe SMS-y, połączenia i dodatkowe opłaty.

Oszustwa związane z SMS-ami

Jest to kod, który powoduje naliczanie opłat za wysyłanie płatnych SMS-ów bez zgody użytkownika lub próbuje zamaskować aktywność związaną z obsługą SMS-ów przez ukrywanie umów albo powiadomień od operatora informujących użytkownika o opłatach lub potwierdzających subskrypcję.

Czasami kod, technicznie rzecz biorąc, nie ukrywa wysyłania SMS-ów, ale wprowadza dodatkowe zachowania umożliwiające oszustwo. Może to być na przykład ukrywanie przed użytkownikiem części umowy o ujawnianiu informacji, sprawianie, że są one nieczytelne, oraz warunkowe blokowanie SMS-ów od operatora, które informują użytkownika o opłatach lub potwierdzają subskrypcję.

oszukańcze połączenia

Jest to kod, który powoduje naliczanie dodatkowych opłat za połączenia telefoniczne bez uzyskania zgody użytkownika.

Oszustwa telefoniczne

Jest to kod, który nakłania użytkowników do subskrybowania lub zakupu treści przy użyciu płatności przez operatora komórkowego.

Oszustwa obejmują dowolny rodzaj opłat oprócz SMS-ów specjalnych i połączeń premium. Mogą to być płatności bezpośrednio u operatora, protokół aplikacji WAP i transmisja danych komórkowych. Oszustwa związane z dostępem do protokołu WAP to jedne z najczęstszych rodzajów opłat drogowych. Oszustwa związane z WAP mogą obejmować nakłanianie użytkowników do kliknięcia przycisku w przejrzystym, przezroczystym komponencie WebView. Po wykonaniu tej czynności inicjowana jest subskrypcja cykliczna, a SMS lub e-mail z potwierdzeniem jest często wykradany, aby użytkownicy nie zauważyli transakcji finansowej.

stalkerware,

Stalkerware (komercyjne programy szpiegowskie)

Kod, który zbiera lub przesyła z urządzenia dane osobowe lub poufne użytkownika bez odpowiedniego powiadomienia i uzyskania zgody użytkownika oraz nie wyświetla stałego powiadomienia, gdy ma to miejsce.

Aplikacje typu stalkerware namierzają użytkowników urządzeń, monitorując ich dane osobowe lub poufne oraz przesyłając je do osób trzecich lub udostępniając je osobom trzecim.

Jedynymi dozwolonymi aplikacjami do monitoringu są aplikacje stworzone i promowane jako przeznaczone wyłącznie dla rodziców do śledzenia dzieci lub zarządzania firmą, pod warunkiem, że spełniają wszystkie wymagania opisane poniżej. Takie aplikacje nie mogą być używane do śledzenia nikogo innego (np. współmałżonka), nawet za zgodą i wiedzą tej osoby, nawet jeśli wyświetlane jest stałe powiadomienie.

Atak typu DoS

Atak typu DoS

Jest to kod, który bez wiedzy użytkownika wykonuje atak typu DoS lub jest częścią rozproszonego ataku typu DoS na inne systemy i zasoby.

Może to na przykład polegać na wysyłaniu dużej liczby żądań HTTP w celu wygenerowania nadmiernego obciążenia zdalnych serwerów.

Szkodliwe programy pobierające

Szkodliwe programy pobierające

Jest to kod, który sam w sobie nie jest groźny, ale pobiera inne potencjalnie szkodliwe aplikacje.

Kod może być uznany za służący do pobierania szkodliwych plików, jeśli:

  • Istnieje podejrzenie, że kod został utworzony do pobierania potencjalnie szkodliwych aplikacji, pobrał takie aplikacje lub zawiera kod, który może pobierać i instalować aplikacje.
  • Co najmniej 5% aplikacji pobranych przez ten kod to potencjalnie szkodliwe aplikacje. Minimalny próg wyliczeń to 500 zarejestrowanych pobrań aplikacji (25 zarejestrowanych pobrań potencjalnie szkodliwych aplikacji).

Główne przeglądarki i aplikacje do udostępniania plików nie są uznawane za szkodliwe programy pobierające, jeśli spełniają te warunki:

  • Nie zwiększają pobierania bez interakcji użytkownika.
  • Wszystkie pobrania potencjalnie szkodliwych aplikacji są inicjowane przez użytkowników, którzy wyrazili na to zgodę.
Zagrożenie inne niż Android

Zagrożenie inne niż Android

Kod zawierający zagrożenia, które nie dotyczą Androida.

Takie aplikacje nie są szkodliwe dla użytkownika ani urządzenia z Androidem, ale zawierają komponenty, które mogą być szkodliwe dla innych platform.

Wyłudzanie informacji (phishing)

Wyłudzanie informacji (phishing)

Jest to kod, który stwarza pozory, że pochodzi z zaufanego źródła, żądający danych uwierzytelniających lub rozliczeniowych użytkownika w celu wysłania ich do osoby trzeciej. Ta kategoria dotyczy również kodu, który przechwytuje dane logowania użytkownika podczas przesyłania.

Częstym celem ataków phishingowych są dane logowania do banku, numery kart kredytowych i dane logowania do kont internetowych w sieciach społecznościowych lub grach.

Eskalacja uprawnień

Nadużywanie podwyższonych uprawnień

Jest to kod, który narusza integralność systemu przez uszkodzenie piaskownicy aplikacji, zdobycie podwyższonych uprawnień albo zmianę lub wyłączenie dostępu do podstawowych funkcji związanych z bezpieczeństwem.

Przykłady:

  • Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
  • Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
  • Aplikacja, która wyłącza SELinux.

Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.

ransomware,

ransomware,

Kod, który częściowo lub w znacznym stopniu przejmuje kontrolę nad urządzeniem bądź danymi na urządzeniu i żąda od użytkownika płatności lub wykonania jakiejś czynności w zamian za zwrócenie kontroli.

Niektóre programy typu ransomware szyfrują dane na urządzeniu i żądają płatności za ich odszyfrowanie lub wykorzystują funkcje administracyjne urządzenia, aby typowy użytkownik nie mógł ich usunąć. Przykłady:

  • Uniemożliwienie użytkownikowi dostępu do urządzenia i żądanie pieniędzy w zamian za zwrócenie kontroli.
  • Szyfrowanie danych na urządzeniu i żądanie zapłaty, po której rzekomo ma nastąpić odszyfrowanie.
  • Wykorzystywanie funkcji menedżera zasad dotyczących urządzeń i blokowanie usuwania treści przez użytkownika.

Kod rozpowszechniany razem z urządzeniem, którego głównym celem jest finansowanie zarządzania urządzeniem, może być wykluczony z kategorii ransomware, jeśli spełni wymagania dotyczące bezpiecznego blokowania i zarządzania oraz odpowiedniego informowania użytkownika i uzyskiwania jego zgody.

Uzyskiwanie dostępu do roota

Uzyskiwanie dostępu do roota

Jest to kod, który uzyskuje dostęp do roota na urządzeniu.

Istnieje różnica między nieszkodliwym kodem, a kodem uruchamiającym złośliwy kod dostępu do roota. Na przykład aplikacje z dostępem do roota powiadamiają użytkownika o zamiarze uzyskania takiego dostępu i nie wykonują innych potencjalnie szkodliwych działań, które są charakterystyczne dla innych potencjalnie szkodliwych aplikacji.

Złośliwe aplikacje z dostępem do roota nie informują użytkownika o zamiarze uzyskania takiego dostępu albo powiadamiają o tym użytkownika, ale wykonują też inne działania, które są stosowane do innych kategorii potencjalnie szkodliwych aplikacji.

Spam

Spam

Jest to kod, który wysyła niechciane wiadomości do kontaktów użytkownika lub wykorzystuje urządzenie jako usługę przekaźnika spamu w e-mailach.


Uzyskiwanie dostępu do roota

programy szpiegowskie,

Kod, który przesyła dane osobowe poza urządzenie bez odpowiedniego powiadomienia i zgody.

Za programy szpiegowskie można uznać np. za przesyłanie którychkolwiek z poniższych informacji bez ujawniania tego faktu użytkownikowi lub w sposób, którego użytkownik się nie spodziewa:

  • Lista kontaktów
  • zdjęcia i inne pliki z karty SD lub nienależące do aplikacji;
  • Treść z adresu e-mail użytkownika
  • Rejestr połączeń
  • rejestr SMS-ów,
  • historia online lub zakładki z domyślnej przeglądarki;
  • informacje z katalogów /data/ innych aplikacji.

Działania, które mogą uchodzić za szpiegowanie użytkownika, mogą też zostać oznaczone jako programy szpiegowskie. Chodzi na przykład o nagrywanie dźwięku lub rozmów na telefon albo kradzież danych aplikacji.

Trojański

Trojański

Kod, który wydaje się niegroźny (np. gra rzekomo będąca zwykłą grą), ale w rzeczywistości wykonuje niepożądane działania skierowane przeciwko użytkownikowi.

Tej klasyfikacji używa się zwykle w połączeniu z innymi kategoriami potencjalnie szkodliwych aplikacji. Trojan ma nieszkodliwy komponent i ukryty szkodliwy komponent. Może to być na przykład gra, która bez wiedzy użytkownika wysyła w tle specjalne SMS-y z urządzenia.

Niezbyt częste

Niezbyt częste

Nowe lub rzadkie aplikacje mogą zostać uznane za nietypowe, jeśli Google Play Protect nie ma wystarczająco dużo informacji, aby uznać je za bezpieczne. Nie oznacza to, że aplikacja jest szkodliwa, ale bez dokładniejszego sprawdzenia nie można też uznać jej za bezpieczną.

maski

Maski

Aplikacja, która wykorzystuje różne techniki unikania ograniczeń, aby udostępnić użytkownikowi inne lub fałszywe funkcje. Aplikacje te ukazują się jako legalne aplikacje lub gry tak, by wyglądały na nieszkodliwe w sklepach z aplikacjami. Korzystają one z technik takich jak zaciemnianie kodu, dynamiczne wczytywanie kodu lub maskowanie w celu ujawnienia złośliwych treści.

Maskware jest podobne do innych kategorii potencjalnie szkodliwych aplikacji, w szczególności trojańskich, a główną różnicą są techniki używane do zaciemnienia złośliwego oprogramowania.

Niechciane oprogramowanie mobilne

Google definiuje niechciane oprogramowanie jako aplikacje, które nie są złośliwym oprogramowaniem, ale są szkodliwe dla jego ekosystemu. Niechciane oprogramowanie mobilne podszywa się pod inne aplikacje lub zbiera co najmniej jedną z tych informacji bez zgody użytkownika:

  • Numer telefonu urządzenia
  • główny adres e-mail;
  • Informacje o zainstalowanych aplikacjach
  • Informacje o kontach w usługach innych firm

Śledzenie konwersji bez zakłóceń i złośliwego oprogramowania odbywa się niezależnie od złośliwego oprogramowania. Kategorie MUwS znajdziesz tutaj.

Ostrzeżenia Google Play Protect

Gdy Google Play Protect wykryje naruszenie zasad dotyczących złośliwego oprogramowania, wyświetli się użytkownikowi ostrzeżenie. Ciągi ostrzegawcze dotyczące poszczególnych naruszeń są dostępne tutaj.