Chính sách của chúng tôi về phần mềm độc hại là rất đơn giản. Hệ sinh thái Android, bao gồm cả Cửa hàng Google Play và thiết bị của người dùng không được có hành vi gây hại (chẳng hạn như phần mềm độc hại). Thông qua nguyên tắc cơ bản này, chúng tôi luôn cố gắng cung cấp một hệ sinh thái Android an toàn cho người dùng cũng như thiết bị Android.
Phần mềm độc hại là những mã có thể gây rủi ro cho người dùng, dữ liệu của người dùng hoặc thiết bị. Phần mềm độc hại bao gồm, nhưng không giới hạn ở các Ứng dụng có khả năng gây hại (PHA), tệp nhị phân hoặc nội dung sửa đổi khung, bao gồm các danh mục như ứng dụng gián điệp, lừa đảo và phần mềm gián điệp. Chúng tôi cũng liên tục cập nhật và thêm các danh mục mới.
Mặc dù đa dạng về loại và chức năng, nhưng phần mềm độc hại thường có một trong những mục tiêu sau:
- Xâm phạm tính toàn vẹn của thiết bị của người dùng.
- Kiểm soát thiết bị của người dùng.
- Bật các thao tác được điều khiển từ xa để kẻ tấn công truy cập, sử dụng hoặc khai thác một thiết bị bị nhiễm.
- Truyền dữ liệu cá nhân hoặc thông tin xác thực ra khỏi thiết bị mà không tiết lộ đầy đủ sự đồng ý của người dùng.
- Phát tán thư rác hoặc lệnh từ thiết bị bị lây nhiễm để tác động đến các thiết bị hoặc mạng khác.
- Lừa đảo người dùng.
Một ứng dụng, tệp nhị phân, hoặc nội dung sửa đổi khung có thể gây hại, và do đó, có thể tạo ra hành vi độc hại, ngay cả khi nó không nhằm mục đích gây hại. Điều này là do các ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung có thể hoạt động theo cách khác nhau tuỳ thuộc vào nhiều biến thể. Do đó, những nội dung gây hại cho một thiết bị Android có thể không gây rủi ro cho một thiết bị Android khác. Ví dụ: một thiết bị chạy phiên bản Android mới nhất không chịu ảnh hưởng của các ứng dụng gây hại sử dụng API không dùng nữa để thực hiện hành vi độc hại, nhưng thiết bị vẫn chạy phiên bản Android rất sớm có thể gặp rủi ro. Các ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung sẽ bị gắn cờ là phần mềm độc hại hoặc ứng dụng có khả năng gây hại (PHA) nếu rõ ràng có nguy cơ gây ra rủi ro cho một số hoặc tất cả thiết bị và người dùng Android.
Các danh mục phần mềm độc hại dưới đây thể hiện niềm tin cốt lõi của chúng tôi rằng người dùng nên hiểu rõ cách thức thiết bị của họ được tận dụng và thúc đẩy một hệ sinh thái an toàn cho phép mang lại sự đổi mới mạnh mẽ cũng như trải nghiệm đáng tin cậy cho người dùng.
Danh mục phần mềm độc hại
Cửa sau
Mã cho phép thực hiện các thao tác điều khiển từ xa trên thiết bị không mong muốn và có thể gây hại.
Những thao tác này có thể bao gồm hành vi đặt ứng dụng, tệp nhị phân hoặc sửa đổi khung vào một trong các danh mục phần mềm độc hại khác nếu được thực thi tự động. Nhìn chung, cửa hậu mô tả cách một hoạt động có thể gây hại xảy ra trên thiết bị, do đó không hoàn toàn khớp với các danh mục như gian lận thanh toán hoặc phần mềm gián điệp thương mại. Kết quả là trong một số trường hợp, Google Play Protect coi một nhóm nhỏ các cửa hậu là lỗ hổng.
Gian lận thanh toán
Mã tự động tính phí người dùng theo cách cố ý lừa đảo.
Gian lận trong thanh toán qua thiết bị di động được chia thành gian lận qua SMS, gian lận trong cuộc gọi và gian lận.
Gian lận qua SMS
Mã tính phí người dùng để gửi tin nhắn SMS trả phí mà không có sự đồng ý hoặc cố gắng nguỵ trang các hoạt động SMS của mình bằng cách ẩn các thỏa thuận tiết lộ hoặc tin nhắn SMS từ nhà cung cấp dịch vụ di động thông báo cho người dùng về khoản phí hoặc xác nhận gói thuê bao.
Một số mã, mặc dù về mặt kỹ thuật, chúng có tiết lộ hành vi gửi tin nhắn SMS nhưng vẫn đưa ra hành vi khác tạo điều kiện cho hành vi gian lận qua SMS. Ví dụ như ẩn các phần của thoả thuận tiết lộ thông tin khỏi người dùng, khiến chúng không đọc được và chặn các tin nhắn SMS từ nhà mạng di động để thông báo cho người dùng về các khoản phí hoặc xác nhận gói thuê bao.
Gian lận trong cuộc gọi
Mã tính phí người dùng bằng cách thực hiện lệnh gọi đến các số cao cấp mà không có sự đồng ý của người dùng.
Gian lận thu phí
Mã lừa người dùng đăng ký hoặc mua nội dung qua hóa đơn điện thoại di động của họ.
Hành vi lừa đảo qua cước phí bao gồm mọi hình thức thanh toán, trừ tin nhắn SMS và cuộc gọi đặc biệt. Ví dụ: các hình thức thanh toán trực tiếp qua nhà mạng, điểm truy cập không dây (GCLID) và dịch vụ chuyển dữ liệu di động. Gian lận WAP là một trong những loại lừa đảo phổ biến nhất. Hành vi gian lận WAP có thể lừa người dùng nhấp vào một nút trên một WebView trong suốt, tải ngầm. Khi người dùng thực hiện thao tác này, một gói thuê bao định kỳ sẽ được bắt đầu và email xác nhận hoặc tin nhắn SMS thường bị xâm nhập để ngăn người dùng phát hiện giao dịch tài chính.
Phần mềm theo dõi (Phần mềm gián điệp thương mại)
Mã thu thập và/hoặc truyền dữ liệu cá nhân hoặc dữ liệu nhạy cảm của người dùng từ một thiết bị mà không có thông báo hoặc sự đồng ý không thỏa đáng và không hiển thị thông báo liên tục cho biết điều này đang diễn ra.
Các ứng dụng theo dõi nhắm mục tiêu đến người dùng thiết bị bằng cách theo dõi dữ liệu cá nhân hoặc nhạy cảm của người dùng, đồng thời truyền dữ liệu này hoặc cho phép bên thứ ba truy cập vào dữ liệu này.
Loại ứng dụng giám sát duy nhất được chúng tôi chấp nhận là ứng dụng được thiết kế và tiếp thị riêng cho cha mẹ để theo dõi hoạt động quản lý doanh nghiệp hoặc con cái, miễn là chúng hoàn toàn tuân thủ những yêu cầu dưới đây. Không ai được dùng những ứng dụng này để theo dõi người khác (ví dụ: vợ/chồng) kể cả khi người đó đã biết và cho phép, bất kể họ có nhìn thấy thông báo liên tục hay không.
Từ chối dịch vụ (DoS)
Mã mà người dùng không biết, thực hiện cuộc tấn công từ chối dịch vụ (DoS) hoặc là một phần của cuộc tấn công từ chối dịch vụ phân tán nhắm đến các hệ thống và tài nguyên khác.
Ví dụ: vấn đề này có thể xảy ra bằng cách gửi một lượng lớn yêu cầu HTTP để tạo ra quá tải trên máy chủ từ xa.
Trình tải ứng dụng gây hại
Mã về bản chất không có nguy cơ gây hại, nhưng lại tải các PHA khác xuống.
Mã có thể là trình tải xuống gây hại nếu:
- Có lý do để tin rằng mã này được tạo ra để lan truyền các ứng dụng có khả năng gây hại và đã tải các ứng dụng này xuống, hoặc thấy mã có thể tải và cài đặt ứng dụng; hoặc
- Ít nhất 5% số ứng dụng đã tải xuống là ứng dụng có khả năng gây hại (PHA) với ngưỡng tối thiểu là 500 lượt tải ứng dụng quan sát được (25 lượt tải ứng dụng có khả năng gây hại đã quan sát được).
Các trình duyệt chính và ứng dụng chia sẻ tệp không được coi là trình tải xuống gây hại với tư cách là:
- Chúng không làm tăng số lượt tải xuống nếu người dùng không tương tác; và
- Tất cả các ứng dụng có khả năng gây hại đã tải xuống đều có sự đồng ý của người dùng.
Mối đe doạ không phải trên Android
Mã chứa các mối đe doạ không phải Android.
Những ứng dụng này không thể gây hại cho người dùng hoặc thiết bị Android, nhưng lại chứa các thành phần có thể gây hại cho nền tảng khác.
Hành vi lừa đảo
Mã giả mạo đến từ một nguồn đáng tin cậy, yêu cầu thông tin xác thực hoặc thông tin thanh toán của người dùng, rồi gửi dữ liệu cho bên thứ ba. Danh mục này cũng áp dụng cho mã chặn thông tin đăng nhập của người dùng trong quá trình truyền tải.
Các mục tiêu phổ biến của hành vi lừa đảo bao gồm thông tin đăng nhập ngân hàng, số thẻ tín dụng và thông tin đăng nhập tài khoản trực tuyến của các mạng xã hội và trò chơi.
Lợi dụng đặc quyền cấp cao
Loại mã làm ảnh hưởng đến tính toàn vẹn của hệ thống bằng cách phá vỡ hộp cát của ứng dụng, chiếm lấy đặc quyền nâng cao hoặc thay đổi hay vô hiệu hoá quyền truy cập các chức năng cốt lõi liên quan đến bảo mật.
Ví dụ:
- Ứng dụng vi phạm mô hình quản lý quyền của Android hoặc đánh cắp thông tin xác thực (chẳng hạn như mã thông báo OAuth) qua các ứng dụng khác.
- Các ứng dụng lợi dụng các tính năng để ngăn người dùng gỡ cài đặt hoặc dừng sử dụng.
- Một ứng dụng tắt SELinux.
Các ứng dụng đặc quyền báo cáo lên cấp trên thiết bị gốc khi chưa được người dùng cho phép sẽ được phân loại là ứng dụng can thiệp vào hệ thống.
Phần mềm tống tiền
Mã kiểm soát một phần hoặc nhiều thiết bị hoặc dữ liệu trên thiết bị và yêu cầu người dùng thanh toán hoặc thực hiện một hành động để phát hành quyền kiểm soát.
Một số phần mềm tống tiền mã hoá dữ liệu trên thiết bị và yêu cầu người dùng phải trả tiền để giải mã dữ liệu và/hoặc sử dụng các tính năng của quản trị viên thiết bị để người dùng thông thường không thể xoá phần mềm đó. Ví dụ:
- Khoá thiết bị để người dùng không truy cập được và đòi tiền để khôi phục quyền kiểm soát cho người dùng.
- Mã hoá dữ liệu trên thiết bị và đòi hỏi phải thanh toán, bề ngoài là để giải mã dữ liệu.
- Tận dụng các tính năng của trình quản lý chính sách thiết bị và ngăn người dùng xoá bỏ.
Mã được phân phối cùng với thiết bị có mục đích chính là quản lý thiết bị được trợ cấp có thể bị loại khỏi danh mục phần mềm tống tiền, miễn là những thiết bị đó đáp ứng thành công các yêu cầu về việc bảo mật và khoá cũng như yêu cầu đầy đủ về sự đồng ý và tiết lộ của người dùng.
Ứng dụng can thiệp vào hệ thống
Mã can thiệp vào hệ thống của thiết bị.
Có sự khác biệt giữa mã can thiệp vào hệ thống mà không có hại và mã độc hại. Ví dụ: ứng dụng can thiệp vào hệ thống sẽ cho người dùng biết trước rằng họ sẽ can thiệp vào hệ thống của thiết bị và không thực thi các hành động có khả năng gây hại khác áp dụng cho các danh mục PHA khác.
Các ứng dụng can thiệp vào hệ thống độc hại không thông báo cho người dùng rằng ứng dụng sẽ can thiệp vào hệ thống của thiết bị, hoặc ứng dụng thông báo cho người dùng về việc can thiệp vào hệ thống trước, nhưng cũng thực hiện các hành động khác áp dụng cho các danh mục PHA khác.
Nội dung làm phiền
Mã gửi tin nhắn không mong muốn đến danh bạ của người dùng hoặc sử dụng thiết bị làm chuyển tiếp email rác.
Phần mềm gián điệp
Mã truyền dữ liệu cá nhân ra khỏi thiết bị mà không thông báo rõ ràng hoặc chưa có sự đồng ý của người dùng.
Ví dụ: hành vi truyền bất kỳ thông tin nào sau đây mà không công bố thông tin hoặc gây bất ngờ cho người dùng đều được coi là phần mềm gián điệp:
- Danh bạ
- Ảnh hoặc các tệp khác trong thẻ SD hoặc những nội dung không thuộc sở hữu của ứng dụng
- Nội dung trong email người dùng
- Nhật ký cuộc gọi
- Nhật ký SMS
- Nhật ký duyệt web hoặc dấu trang của trình duyệt mặc định
- Thông tin trong các thư mục /data/ của các ứng dụng khác.
Những hành vi có thể được coi là theo dõi người dùng cũng có thể bị gắn cờ là phần mềm gián điệp. Ví dụ: ghi âm hoặc ghi âm cuộc gọi đến điện thoại hoặc đánh cắp dữ liệu ứng dụng.
Phần mềm trojan
Mã có vẻ vô hại, chẳng hạn như một trò chơi tuyên bố chỉ là trò chơi, nhưng thực hiện các hành động không mong muốn đối với người dùng.
Cách phân loại này thường được dùng kết hợp với các danh mục PHA (ứng dụng có khả năng gây hại) khác. Một trojan có một thành phần vô hại và một thành phần gây hại được ẩn đi. Ví dụ: một trò chơi gửi thông báo SMS cao cấp qua thiết bị của người dùng ở chế độ nền mà người dùng không biết.
Không phổ biến
Các ứng dụng mới và hiếm có thể được phân loại là không phổ biến nếu Google Play Protect không có đủ thông tin để xoá những ứng dụng đó là an toàn. Điều này không có nghĩa là ứng dụng có thể gây hại, nhưng nếu không được xem xét thêm thì ứng dụng đó cũng không thể được coi là an toàn.
Phần mềm không mong muốn trên thiết bị di động (MUwS)
Google định nghĩa phần mềm không mong muốn (UwS) là những ứng dụng không phần mềm độc hại nhưng có hại cho hệ sinh thái phần mềm. Phần mềm không mong muốn trên thiết bị di động (MUwS) mạo danh các ứng dụng khác hoặc thu thập ít nhất một trong những nội dung sau mà không có sự đồng ý của người dùng:
- Số điện thoại của thiết bị
- Địa chỉ email chính
- Thông tin về những ứng dụng đã cài đặt
- Thông tin về các tài khoản bên thứ ba
MUwS được theo dõi riêng biệt với Phần mềm độc hại. Bạn có thể xem các danh mục MUwS tại đây.
Cảnh báo của Google Play Protect
Khi Google Play Protect phát hiện thấy lỗi vi phạm chính sách về phần mềm độc hại, người dùng sẽ thấy cảnh báo. Chuỗi cảnh báo cho từng lỗi vi phạm có tại đây.