Эта страница переведена с помощью Cloud Translation API.

Категории вредоносных программ

Наша политика в отношении вредоносных программ проста: экосистема Android, включая Google Play Store, и пользовательские устройства не должны иметь вредоносных действий (например, вредоносных программ). Благодаря этому фундаментальному принципу мы стремимся обеспечить безопасную экосистему Android для наших пользователей и их устройств Android.

Вредоносное ПО — это любой код, который может подвергнуть риску пользователя, данные пользователя или устройство. Вредоносное ПО включает, помимо прочего, потенциально опасные приложения (PHA), двоичные файлы или модификации фреймворка, состоящие из таких категорий, как трояны, фишинговые и шпионские приложения, и мы постоянно обновляем и добавляем новые категории.

Несмотря на разнообразие типов и возможностей, вредоносные программы обычно преследуют одну из следующих целей:

Нарушить целостность устройства пользователя.
Получите контроль над устройством пользователя.
Включите дистанционно управляемые операции, чтобы злоумышленник мог получить доступ, использовать или иным образом использовать зараженное устройство.
Передавать личные данные или учетные данные с устройства без надлежащего раскрытия информации и согласия.
Распространять спам или команды с зараженного устройства, чтобы воздействовать на другие устройства или сети.
Обмануть пользователя.

Модификация приложения, двоичного файла или платформы может быть потенциально опасной и, следовательно, может привести к вредоносному поведению, даже если оно не предназначалось для нанесения вреда. Это связано с тем, что приложения, двоичные файлы или модификации фреймворка могут функционировать по-разному в зависимости от множества переменных. Поэтому то, что вредно для одного Android-устройства, может вообще не представлять опасности для другого Android-устройства. Например, на устройство с последней версией Android не влияют вредоносные приложения, использующие устаревшие API для выполнения вредоносных действий, но устройство, на котором все еще работает очень ранняя версия Android, может быть подвержено риску. Приложения, двоичные файлы или модификации платформы помечаются как вредоносное ПО или PHA, если они явно представляют риск для некоторых или всех устройств и пользователей Android.

Приведенные ниже категории вредоносных программ отражают наше основополагающее убеждение в том, что пользователи должны понимать, как используется их устройство, и продвигать безопасную экосистему, обеспечивающую надежные инновации и надежный пользовательский интерфейс.

Категории вредоносных программ

Черный ход

Код, который позволяет выполнять нежелательные, потенциально опасные, удаленно управляемые операции на устройстве.

Эти операции могут включать в себя поведение, которое поместит приложение, двоичный файл или модификацию платформы в одну из других категорий вредоносных программ, если они будут выполняться автоматически. В общем, бэкдор — это описание того, как потенциально опасная операция может произойти на устройстве, и поэтому он не полностью соответствует таким категориям, как мошенничество с выставлением счетов или коммерческое шпионское ПО. В результате часть бэкдоров при определенных обстоятельствах рассматривается Google Play Protect как уязвимость.

Примечание. Классификация бэкдоров по категориям вредоносных программ зависит от того, как действует код. Необходимым условием для того, чтобы любой код был классифицирован как бэкдор, является то, что он обеспечивает поведение, которое при автоматическом выполнении поместит код в одну из других категорий вредоносных программ. Например, если приложение допускает динамическую загрузку кода, а динамически загружаемый код извлекает текстовые сообщения, оно будет классифицировано как вредоносное ПО с бэкдором.

Однако если приложение допускает выполнение произвольного кода и у нас нет оснований полагать, что это выполнение кода было добавлено для выполнения злонамеренного поведения, тогда приложение будет рассматриваться как имеющее уязвимость, а не как бэкдор-вредоносное ПО, и разработчик будет предложено исправить его.

Мошенничество с выставлением счетов

Код, который автоматически взимает плату с пользователя намеренно вводящим в заблуждение способом.

Мошенничество с выставлением счетов за мобильную связь подразделяется на мошенничество с использованием SMS, мошенничество со звонками и мошенничество с телефонными звонками.

SMS-мошенничество

Код, который взимает плату с пользователей за отправку SMS-сообщений премиум-класса без согласия или пытается замаскировать свою SMS-активность, скрывая соглашения о раскрытии информации или SMS-сообщения от оператора мобильной связи, уведомляющие пользователя о списании средств или подтверждающие подписку.

Некоторые коды, хотя они технически раскрывают поведение при отправке SMS, вводят дополнительное поведение, позволяющее использовать SMS-мошенничество. Примеры включают сокрытие частей соглашения о раскрытии информации от пользователя, делая их нечитаемыми, и условное подавление SMS-сообщений от оператора мобильной связи, информирующих пользователя об оплате или подтверждающих подписку.

Мошенничество со звонками

Код, который взимает плату с пользователей за звонки на платные номера без согласия пользователя.

Мошенничество с платными дорогами

Код, который обманом заставляет пользователей подписываться или покупать контент с помощью счета мобильного телефона.

Мошенничество с платными звонками включает в себя любой тип оплаты, кроме премиальных SMS и премиальных звонков. Примеры этого включают прямой биллинг оператора связи, протокол беспроводных приложений (WAP) и передачу мобильного эфирного времени. WAP-мошенничество является одним из наиболее распространенных видов мошенничества с платными телефонными звонками. Мошенничество с WAP может включать обман пользователей, заставляющих их нажимать кнопку в незаметно загружаемом прозрачном веб-представлении. После выполнения действия инициируется повторяющаяся подписка, а подтверждающее SMS или электронное письмо часто перехватывается, чтобы пользователи не заметили финансовую транзакцию.

Stalkerware (коммерческое шпионское ПО)

Код, который собирает и/или передает личные или конфиденциальные данные пользователя с устройства без надлежащего уведомления или согласия и не отображает постоянное уведомление об этом.

Приложения Stalkerware нацелены на пользователей устройств, отслеживая личные или конфиденциальные данные пользователей и передавая или делая эти данные доступными для третьих лиц.

Приложения, разработанные и продаваемые исключительно для родителей, чтобы следить за своими детьми или руководством предприятия, при условии, что они полностью соответствуют требованиям, описанным ниже, являются единственными приемлемыми приложениями для наблюдения. Эти приложения нельзя использовать для отслеживания кого-либо еще (например, супруга) даже с их ведома и разрешения, независимо от того, отображается ли постоянное уведомление.

Отказ в обслуживании (DoS)

Код, который без ведома пользователя выполняет атаку отказа в обслуживании (DoS) или является частью распределенной атаки DoS на другие системы и ресурсы.

Например, это может произойти при отправке большого количества HTTP-запросов для создания чрезмерной нагрузки на удаленные серверы.

Враждебные загрузчики

Код, который сам по себе не является потенциально опасным, но загружает другие PHA.

Код может быть вредоносным загрузчиком, если:

Есть основания полагать, что он был создан для распространения PHA, и он загрузил PHA или содержит код, который может загружать и устанавливать приложения; или
По крайней мере 5% приложений, загружаемых им, являются PHA с минимальным порогом в 500 наблюдаемых загрузок приложений (25 наблюдаемых загрузок PHA).

Основные браузеры и приложения для обмена файлами не считаются враждебными загрузчиками, если:

Они не увеличивают количество загрузок без взаимодействия с пользователем; и
Все загрузки PHA инициируются с согласия пользователей.

Угроза не для Android

Код, содержащий угрозы не для Android.

Эти приложения не могут нанести вред пользователю или устройству Android, но содержат компоненты, потенциально опасные для других платформ.

Фишинг

Код, который якобы исходит из надежного источника, запрашивает учетные данные пользователя или платежную информацию и отправляет данные третьей стороне. Эта категория также относится к коду, который перехватывает передачу учетных данных пользователя в пути.

Общие цели фишинга включают банковские учетные данные, номера кредитных карт и учетные данные онлайн-аккаунтов для социальных сетей и игр.

Злоупотребление повышенными привилегиями

Код, который ставит под угрозу целостность системы, нарушая изолированную программную среду приложения, получая повышенные привилегии или изменяя или отключая доступ к основным функциям, связанным с безопасностью.

Примеры включают:

Приложение, которое нарушает модель разрешений Android или крадет учетные данные (например, токены OAuth) из других приложений.
Приложения, которые злоупотребляют функциями, чтобы предотвратить их удаление или остановку.
Приложение, которое отключает SELinux.

Приложения для повышения привилегий, которые выполняют root-права на устройствах без разрешения пользователя, классифицируются как root-приложения.

Программы-вымогатели

Код, который берет частичный или обширный контроль над устройством или данными на устройстве и требует, чтобы пользователь произвел платеж или выполнил действие, чтобы освободить контроль.

Некоторые программы-вымогатели шифруют данные на устройстве и требуют оплаты за расшифровку данных и/или использование функций администратора устройства, чтобы их не мог удалить обычный пользователь. Примеры включают:

Блокировка пользователя на его устройстве и требование денег за восстановление пользовательского контроля.
Шифрование данных на устройстве и требование оплаты якобы за расшифровку данных.
Использование функций диспетчера политик устройств и блокировка удаления пользователем.

Код, распространяемый вместе с устройством, основная цель которого заключается в управлении субсидируемым устройством, может быть исключен из категории программ-вымогателей при условии, что он успешно соответствует требованиям к безопасной блокировке и управлению, а также требованиям к надлежащему раскрытию информации и получению согласия пользователя.

Укоренение

Код, который рутирует устройство.

Есть разница между безопасным и вредоносным кодом рутирования. Например, приложения для рутирования заранее сообщают пользователю, что они собираются рутировать устройство, и не выполняют других потенциально опасных действий, которые относятся к другим категориям PHA.

Вредоносные приложения для рутирования не информируют пользователя о том, что они собираются рутировать устройство, или заранее информируют пользователя о рутировании, но также выполняют другие действия, применимые к другим категориям PHA.

Спам

Код, который отправляет нежелательные сообщения контактам пользователя или использует устройство в качестве ретранслятора спама по электронной почте.

Шпионское ПО

Код, который передает личные данные с устройства без надлежащего уведомления или согласия.

Например, передачи любой из следующих сведений без раскрытия или способом, неожиданным для пользователя, достаточно, чтобы считаться шпионским ПО:

Список контактов
Фотографии или другие файлы с SD-карты или файлы, которые не принадлежат приложению.
Контент из электронной почты пользователя
Журнал вызовов
Журнал SMS
История веб-поиска или закладки браузера по умолчанию
Информация из каталогов /data/ других приложений.

Поведение, которое может рассматриваться как слежка за пользователем, также может быть помечено как шпионское ПО. Например, запись звука или звонков на телефон или кража данных приложения.

троян

Код, который кажется безопасным, например игра, которая утверждает, что является игрой, но выполняет нежелательные действия против пользователя.

Эта классификация обычно используется в сочетании с другими категориями PHA. Троян имеет безобидный компонент и скрытый вредоносный компонент. Например, игра, которая отправляет платные SMS-сообщения с устройства пользователя в фоновом режиме и без ведома пользователя.

Необычный

Новые и редкие приложения могут быть классифицированы как необычные, если в Google Play Protect недостаточно информации, чтобы очистить их как безопасные. Это не означает, что приложение обязательно является вредоносным, но без дополнительной проверки оно также не может быть признано безопасным.

Мобильное нежелательное ПО (MUwS)

Google определяет нежелательное программное обеспечение (UwS) как приложения, которые не являются строго вредоносными программами, но наносят вред экосистеме программного обеспечения. Нежелательное мобильное ПО (MUwS) выдает себя за другие приложения или собирает как минимум одно из следующего без согласия пользователя:

Номер телефона устройства
Основной адрес электронной почты
Информация об установленных приложениях
Информация о сторонних аккаунтах

MUwS отслеживается отдельно от вредоносных программ. Вы можете просмотреть категории MUwS здесь .

Предупреждения Google Play Защиты

Когда Google Play Protect обнаруживает нарушение политики в отношении вредоносного ПО, пользователю отображается предупреждение. Строки предупреждений для каждого нарушения доступны здесь .