マルウェアのカテゴリ

Google のマルウェア ポリシーはシンプルです。Google Play ストアなどの Android エコシステムと、ユーザー デバイスは、悪意のある動作(マルウェアなど)から保護されている必要があります。この基本原則に基づき、Google はユーザーと Android デバイスに安全な Android エコシステムを提供するよう努めています。

マルウェアとは、ユーザー、ユーザーのデータ、デバイスが危険にさらされる可能性があるコードを指します。マルウェアには、有害な可能性があるアプリ(PHA)、バイナリ、フレームワーク修正(トロイの木馬、フィッシング、スパイウェア アプリなど)が含まれますが、これらに限定されません。Google は継続的に新しいカテゴリを更新、追加しています。

タイプと機能はさまざまですが、マルウェアは通常、次のいずれかの目的を持ちます。

  • ユーザーのデバイスの完全性を損なう。
  • ユーザーのデバイスをコントロールできます。
  • 攻撃者がリモートから操作を行って、感染したデバイスにアクセスしたり、悪用したりする。
  • 十分な開示と同意なく、デバイスから個人データや認証情報を送信する。
  • 感染したデバイスからスパムやコマンドを送り、他のデバイスやネットワークに影響を及ぼす。
  • ユーザーをだます。

アプリ、バイナリ、フレームワークの変更は有害な可能性があり、悪意を持っていなくても悪意ある動作を生成することがあります。これは、アプリ、バイナリ、フレームワークの変更が、さまざまな変数に応じて異なる場合があるためです。したがって、ある Android デバイスに害を及ぼすものが、別の Android デバイスにリスクをまったくもたらさない可能性があります。たとえば、最新バージョンの Android を搭載したデバイスは、サポートが終了した API を使用して悪意のある動作を実行する有害なアプリの影響を受けません。ただし、非常に古いバージョンの Android を搭載したデバイスはリスクにさらされる可能性があります。アプリ、バイナリ、フレームワークの変更は、一部またはすべての Android デバイスとユーザーに明らかにリスクをもたらす場合、マルウェアまたは PHA として報告されます。

以下のマルウェア カテゴリには、デバイスがどのように利用されるかを理解し、堅牢なイノベーションと信頼できるユーザー エクスペリエンスを可能にする安全なエコシステムを促進する必要があるという Google の根底にある信念が反映されています。

マルウェアのカテゴリ

バックドア

バックドア

デバイス上で望ましくない可能性がある有害なリモート オペレーションを実行するためのコード。

これらのオペレーションには、アプリ、バイナリ、フレームワーク変更を、自動的に実行された場合に他のマルウェア カテゴリに配置する動作が含まれる場合があります。一般に、バックドアはデバイスに有害な可能性のある操作が発生する可能性があるということを意味しており、請求詐欺や商用スパイウェアなどのカテゴリとは完全には一致していません。そのため、状況によっては、バックドアのサブセットが Google Play プロテクトで脆弱性として扱われます。

請求詐欺

請求詐欺

ユーザーを欺く方法で自動的に課金するコード。

モバイル請求詐欺は、SMS 不正行為、通話詐欺、通行料金詐欺に分けられます。

SMS を利用した不正行為

同意を得ずにプレミアム SMS を送信するようユーザーに請求するコード、またはユーザーに請求の意思表示やサブスクリプションの確認を行う開示契約や SMS メッセージを非表示にして SMS アクティビティを偽装するコード。

一部のコードでは、SMS の送信動作が技術的に開示されていますが、SMS の不正行為に対応する追加の動作が導入されています。たとえば、開示契約書の一部を隠したり、判読不能にしたり、携帯通信会社に SMS メッセージを条件付きで非表示にしたり、課金の通知や定期購入の確認を行ったりします。

不正行為

ユーザーの同意なしにプレミアム電話番号に発信することでユーザーに課金するコード。

有料通話に関する不正行為

ユーザーを騙して携帯電話の請求でコンテンツを購入または購入させるコード。

通話料金詐欺には、プレミアム SMS とプレミアム コールを除くすべてのタイプの課金が含まれます。例としては、キャリア決済、ワイヤレス アプリケーション プロトコル(WAP)、モバイル通信転送などがあります。WAP 不正行為は、よく見られる Toll 不正行為の一種です。WAP 不正行為には、ユーザーを密にして読み込みの透明な WebView のボタンをクリックさせる行為などがあります。操作を行うと、定期購入が開始され、確認の SMS やメールがハイジャックされて、ユーザーが金融取引の通知を受け取れないことがよくあります。

ストーカーウェア

ストーカーウェア(商用スパイウェア)

適切な通知や同意なく、デバイスからユーザーの個人情報や機密情報を収集または送信するコードであり、こうした行為が行われていることを示す永続的な通知を表示しない。

ストーカーウェア アプリは、ユーザーの個人情報や機密情報をモニタリングし、そのデータを送信したり、第三者がアクセスできるようにしたりすることで、デバイス ユーザーを標的とします。

監視アプリとして承認されるには、保護者が子供や企業の管理を追跡することのみを目的として設計し、下記の要件を完全に遵守する必要があります。これらのアプリは、永続的な通知が表示されるかどうかにかかわらず、他のユーザー(たとえば配偶者)の追跡に、知識と許可を得ても使用できません。

サービス拒否

サービス拒否(DoS)

ユーザーが知らないうちにサービス拒否(DoS)攻撃を行うコード。他のシステムやリソースに対する分散 DoS 攻撃の一部であること。

たとえば、リモート サーバーに過度の負荷をかけるために、大量の HTTP リクエストを送信できます。

悪意のあるダウンローダ

悪意のあるダウンローダ

それ自体は有害ではない場合があるが、他の PHA をダウンロードするコード。

以下に該当する場合、コードは悪意のあるダウンローダとなる可能性があります。

  • PHA を拡散するために作成されたのには理由があり、PHA をダウンロードしたことがあるか、アプリのダウンロードやインストールが可能なコードが含まれています。
  • ダウンロードされたアプリの少なくとも 5% が PHA であり、観測されたアプリのダウンロード数が最小しきい値を 500 としています(PHA のダウンロードが 25 件)。

次の場合を除き、主要なブラウザやファイル共有アプリは、悪意のあるダウンローダとは見なされません。

  • ユーザーの操作なしでダウンロードが増えることはありません。
  • PHA のダウンロードはすべて、同意済みのユーザーによって開始されます。
Android 以外の脅威

Android 以外の脅威

Android 以外の脅威を含むコード。

これらのアプリは、Android のユーザーやデバイスに害を及ぼすことはありませんが、他のプラットフォームに有害なコンポーネントを含んでいる可能性があります。

フィッシング

フィッシング

信頼できるソースを装い、ユーザーの認証情報またはお支払い情報をリクエストし、データをサードパーティに送信するコード。このカテゴリは、転送中のユーザー認証情報の送信をインターセプトするコードにも適用されます。

フィッシングの一般的な標的には、銀行の認証情報、クレジット カード番号、ソーシャル ネットワークやゲーム用のオンライン アカウント認証情報などがあります。

権限昇格

権限昇格の悪用

アプリ サンドボックスの破壊、昇格権限の取得、セキュリティ関連の重要な機能へのアクセスの変更または無効化などによってシステムの完全性を損なうコード。

以下に例を示します。

  • Android の権限モデルに違反するアプリや、他のアプリから認証情報(OAuth トークンなど)を盗むアプリ。
  • 機能を悪用してアプリのアンインストールや停止を防止するアプリ。
  • SELinux を無効にするアプリ。

ユーザー権限のないデバイスでルート権限を取得する、権限昇格アプリは root 権限取得アプリに分類されます。

ランサムウェア

ランサムウェア

デバイス上のデバイスやデータに対して部分的または広範な制御を行い、制御の解除のためにユーザーが支払いや操作を要求するコード。

一部のランサムウェアはデバイス上のデータを暗号化し、データの復号や、デバイスの管理機能を利用して、一般的なユーザーがデータを削除できないように支払いを要求します。以下に例を示します。

  • ユーザーをデバイス外にロックアウトし、ユーザー コントロールを復元するには金銭を要求する。
  • デバイス上のデータを暗号化し、料金を支払い、表面的にデータを復号する。
  • Device Policy Manager の機能を活用してユーザーによる削除をブロックします。

デバイスの管理を補助金付きで提供するデバイスと一緒に配布されるコードは、安全なロックと管理の要件、および十分なユーザー開示と同意の要件を満たしている場合、ランサムウェアのカテゴリから除外される場合があります。

ルート権限の取得

ルート権限の取得

デバイスの root 権限を取得するコード。

悪意のないルート権限と悪意のある root 権限取得のコードの間には違いがあります。たとえば、root 権限取得アプリは、ユーザーに root 権限を取得することを事前に通知し、他の PHA カテゴリに該当する有害な可能性がある操作を実行しないことをユーザーに知らせます。

悪意のある root 権限取得アプリは、ユーザーに root 権限を取得することをユーザーに通知しません。また、ユーザーに事前に root 権限を通知するだけでなく、他の PHA カテゴリに適用されるアクションを実行することもあります。

Spam

Spam

ユーザーの連絡先に迷惑メッセージを送信する、またはデバイスをメールの迷惑メールリレーとして使用するコード。


ルート権限の取得

スパイウェア

適切な通知や同意なしにデバイスから個人データを送信するコード。

たとえば、開示することなく、またはユーザーに予期しない方法で次の情報を送信するだけで、スパイウェアと見なされます。

  • 連絡先リスト
  • SD カード内の写真やその他のファイル、またはアプリのオーナーが所有していない写真
  • ユーザーのメールの内容
  • 通話履歴
  • SMS のログ
  • デフォルトのブラウザの閲覧履歴やブラウザのブックマーク
  • 他のアプリの /data/ ディレクトリからの情報

ユーザーに対するスパイ行為と見なされる行為も、スパイウェアとして報告されることがあります。(例: 音声録音、スマートフォンへの録音、アプリデータの盗難)。

トロイの木馬

トロイの木馬

無害に見えるコード(ゲームとして装っておくが、ユーザーに望ましくない行動を取らせるゲームなど)。

この分類は通常、他の PHA カテゴリと組み合わせて使用されます。トロイの木馬には、無害なコンポーネントと隠された有害なコンポーネントがあります。たとえば、バックグラウンドでユーザーのデバイスから有料の SMS メッセージを送信するゲームなどです。

珍しい

珍しい

Google Play プロテクトが安全であると判断できるだけの十分な情報がない場合は、新規または低頻度のアプリを異常なものとして分類できます。これは、アプリが必ずしも有害であるというわけではありませんが、詳しく審査しなければ安全と判断することはできません。

モバイルの望ましくないソフトウェア(MUwS)

Google は、望ましくないソフトウェア(UwS)を、厳密にはマルウェアではないが、ソフトウェア エコシステムに有害なアプリとして定義しています。モバイルの望ましくないソフトウェア(MUwS)は、他のアプリになりすましているか、ユーザーの同意なしに少なくとも 1 つを収集しています。

  • デバイスの電話番号
  • メインのメールアドレス
  • インストール済みのアプリに関する情報
  • サードパーティのアカウントに関する情報

MUwS はマルウェアとは別にトラッキングされます。MUwS のカテゴリはこちらで確認できます。

Google Play プロテクトの警告

Google Play プロテクトがマルウェアのポリシー違反を検出すると、ユーザーに警告が表示されます。各違反の警告文字列はこちらで確認できます。