המדיניות שלנו בנושא תוכנות זדוניות פשוטה, הסביבה העסקית של Android, כולל חנות Google Play, ומכשירי משתמש צריכים להיות נקיים מהתנהגויות זדוניות (לדוגמה, תוכנות זדוניות). בעקרון הבסיסי הזה, אנחנו שואפים לספק סביבה עסקית בטוחה ל-Android למשתמשים ולמכשירי Android שלהם.
תוכנה זדונית היא כל קוד שעלול לסכן משתמש, נתונים של משתמש או מכשיר שנמצא בסיכון. תוכנות זדוניות כוללות, בין השאר, אפליקציות שעלולות לגרום נזק (PHA), אפליקציות בינאריות או שינויים במסגרות, שכוללות קטגוריות כמו אפליקציות של סוסים טרויאניים, פישינג ורוגלה, ואנחנו כל הזמן מעדכנים ומוסיפים קטגוריות חדשות.
על אף שהסוג והיכולות שלהן מגוונות, לתוכנות זדוניות יש בדרך כלל אחת מהמטרות הבאות:
- יש לסכן את תקינות המכשיר של המשתמש.
- שליטה במכשיר של המשתמש.
- הפעלת פעולות בשלט רחוק עבור תוקף כדי לגשת למכשיר נגוע, להשתמש בו או לנצל אותו בדרכים אחרות.
- העברת פרטים אישיים או פרטי כניסה מהמכשיר ללא גילוי נאות והסכמה.
- מומלץ להפיץ ספאם או פקודות מהמכשיר הנגוע ולהשפיע על רשתות או מכשירים אחרים.
- להונות את המשתמש.
שינוי של אפליקציה, קובץ בינארי או מסגרת עלול להיות מזיק, ולכן הוא עלול לגרום להתנהגות זדונית גם אם היא לא הייתה מיועדת להזיק. הסיבה לכך היא שאפליקציות, קבצים בינאריים או שינויים במסגרות יכולים לתפקד באופן שונה בהתאם למגוון משתנים. לכן, מה שמזיק למכשיר Android אחד לא עלול לסכן כלל את מכשיר Android אחר. לדוגמה, מכשיר שבו פועלת הגרסה העדכנית ביותר של Android לא מושפע מאפליקציות מזיקות שמשתמשות בממשקי API שהוצאו משימוש כדי לבצע התנהגות זדונית, אבל מכשיר שעדיין פועל בו גרסה מוקדמת מאוד של Android עלול להיות בסיכון. אפליקציות, קבצים בינאריים או שינויים במסגרות מסומנים כתוכנות זדוניות או אפליקציות PHA, אם הם עלולים להוות סיכון ברור לחלק מהמכשירים או המשתמשים ב-Android.
הקטגוריות של התוכנות הזדוניות שמופיעות בהמשך משקפות את האמונה הבסיסית שלנו שהמשתמשים צריכים להבין את אופן השימוש במכשיר שלהם ולקדם טכנולוגיה אקולוגית מאובטחת שמאפשרת חדשנות חזקה וחוויית משתמש מהימנה.
קטגוריות של תוכנות זדוניות

דלת אחורית
קוד שמאפשר ביצוע של פעולות לא רצויות, שעלולות להיות מזיקות ומפוקחות במכשיר.
יכול להיות שפעולות אלה יגרמו לשינוי של האפליקציה, הבינארי או שינוי הפריים באחת מהקטגוריות האחרות של תוכנות זדוניות, אם הן יבוצעו באופן אוטומטי. באופן כללי, דלת אחורית היא תיאור של האופן שבו פעולה אפשרית עלולה לגרום נזק למכשיר, ולכן לא תואמת לחלוטין לקטגוריות כמו הונאת חיובים או רוגלה מסחרית. כתוצאה מכך, בנסיבות מסוימות, קבוצת משנה של דלתות אחוריות טופלה על ידי Google Play Protect כנקודת חולשה.

הונאת חיובים
קוד שמחייב את המשתמש באופן אוטומטי במכוון.
הונאות חיוב בנייד מחולקות לתרמיות SMS, להונאות שיחות ולתרמיות.
הונאת SMS
קוד שמחייב משתמשים לשלוח הודעות SMS ללא רשות, או מנסה להסתיר את פעילויות ה-SMS שלהם, על ידי הסתרת הסכמי גילוי נאות או הודעות SMS מהמפעיל הסלולרי שמודיע למשתמש על חיובים או אישור מינויים.
בחלק מהקוד, למרות שמבחינה טכנית הם חושפים התנהגות שליחה של הודעות SMS, הם מגלמים התנהגות נוספת שנכללת בהונאות SMS. לדוגמה, הסתרה של חלקים בהסכם גילוי נאות מהמשתמש, ביטול קריאתם וביטול תנאי של הודעות SMS מהמפעיל הסלולרי המיידע את המשתמש על חיובים או אישור הרשמה.
הונאת שיחות
קוד שמחייב משתמשים על ידי התקשרות למספרי פרימיום ללא הסכמת המשתמשים.
הונאת אגרה
קוד שמטעה משתמשים וגורם להם להירשם למינוי או לרכוש תוכן באמצעות החשבון בטלפון הנייד שלהם.
הונאה בתשלום כוללת כל סוג של חיוב, מלבד SMS פרימיום ושיחות פרימיום. דוגמאות לנתונים כאלה: חיוב ישיר על ידי ספק, פרוטוקול אפליקציה אלחוטית (WAP ) והעברת זמן אוויר בנייד. הונאת WAP היא אחד הסוגים הנפוצים ביותר של הונאת אגרה. הונאת WAP עלולה להטעות משתמשים כדי לגרום להם ללחוץ על לחצן ב-WebView שקוף. לאחר ביצוע הפעולה מתחיל מינוי קבוע, והאישור או האימייל שנשלחים באימייל נפרצים לעיתים קרובות כדי שהמשתמשים לא יבחינו בעסקה הפיננסית.

Stalkerware (Commercial Spyware)
קוד שאוסף ו/או מעביר נתוני משתמש אישיים או רגישים ממכשיר ללא הודעה מראש או הודעה לא מתאימה, ולא מוצגת הודעה קבועה על כך.
אפליקציות של תוכנות מעקב מטרגטות משתמשי מכשירים על ידי מעקב אחר נתוני משתמש אישיים או רגישים, ושידור או הפיכת הנתונים לנגישים לצדדים שלישיים.
אפליקציות שמיועדות ומיועדות באופן בלעדי להורים למעקב אחר הילדים שלהם או לניהול ארגוני, בתנאי שהן עומדות באופן מלא בדרישות המתוארות בהמשך הן אפליקציות המעקב היחידות שמקובלות. לא ניתן להשתמש באפליקציות האלה כדי לעקוב אחרי אנשים אחרים (למשל, עם בן/בת זוג) גם אם יש להם ידע והרשאה, גם אם מוצגת הודעה קבועה.

התקפת מניעת שירות (DoS)
קוד שלא ידוע לו שהמשתמש מבצע התקפת מניעת שירות (DoS) או שהוא חלק ממתקפת מניעת שירות מבוזרת כנגד מערכות ומשאבים אחרים.
לדוגמה, זה יכול לקרות אם תשלחו כמות גדולה של בקשות HTTP כדי לייצר עומס יתר על שרתים מרוחקים.

הורדות עוינות
קוד שלא כשלעצמו עלול לגרום נזק, אבל מוריד אפליקציות אחרות שעלולות להזיק.
קוד יכול להיות כלי הורדה עוין, אם:
- יש סיבה להאמין שהיא נוצרה כדי להפיץ אפליקציות PHA, והיא הורידה PHA או מכילה קוד שיכול להוריד ולהתקין אפליקציות; או
- לפחות 5% מהאפליקציות שההורדה שלהן היא PHA עם סף מינימום של 500 הורדות של אפליקציות שתועדו (25 הורדות PHA שזוהו).
דפדפנים חשובים ואפליקציות לשיתוף קבצים לא נחשבים למורידים עוינים, כל עוד:
- הן לא מובילות להורדות ללא אינטראקציה עם המשתמש, וגם
- כל הורדות ה-PHA מתבצעות על ידי משתמשים שהביעו הסכמה.

איום שאינו ל-Android
קוד שמכיל איומים שאינם Android.
האפליקציות האלה לא יכולות לגרום נזק למשתמש או למכשיר Android, אבל כוללות רכיבים שעלולים להזיק לפלטפורמות אחרות.

פישינג
קוד שנראה כאילו הוא מגיע ממקור מהימן, מבקש פרטי כניסה או פרטי חיוב של משתמש ושולח את הנתונים לצד שלישי. הקטגוריה הזו חלה גם על קוד שמעכב את ההעברה של פרטי הכניסה של המשתמשים בזמן ההעברה.
יעדים נפוצים של פישינג כוללים פרטי כניסה בנקאיים, מספרי כרטיס אשראי ופרטי כניסה לחשבון אונליין עבור רשתות חברתיות ומשחקים.

ניצול לרעה של הרשאות גבוהות
קוד שפוגע בתקינות המערכת על ידי פריצת ארגז החול של האפליקציה, קבלת הרשאות מורחבות או שינוי או השבתת הגישה לפונקציות עיקריות שקשורות לאבטחה.
דוגמאות:
- אפליקציה שמפרה את מודל ההרשאות של Android, או גונבת פרטי כניסה (כמו אסימוני OAuth) מאפליקציות אחרות.
- אפליקציות שמנצלות לרעה תכונות כדי למנוע את הסרתן או את עצירתן.
- אפליקציה שמשבית את SELinux.
אפליקציות שיש להן הרשאות ברמה גבוהה יותר מסווגות במכשירים ברמה הבסיסית (root), שבמכשירים שלהן אין הרשאות משתמש.

תוכנת כופר
קוד שלוקח שליטה חלקית או מקיפה על מכשיר או נתונים במכשיר, ומחייב את המשתמש לשלם או לבצע פעולה כדי לשחרר את השליטה.
תוכנת כופר מסוימת מצפינה נתונים במכשיר ומחייבת תשלום כדי לפענח את הנתונים ו/או למנף את התכונות לניהול המכשיר כך שלא ניתן יהיה להסיר אותן על ידי משתמש רגיל. דוגמאות:
- נעילת משתמש מחוץ למכשיר ודרישה לתשלום כדי לשחזר את בקרת המשתמש.
- הצפנת נתונים במכשיר ותביעת תשלום, לכאורה, לפענוח הנתונים.
- שימוש בתכונות של מנהל מדיניות המכשיר וחסימת הסרה על ידי המשתמש.
קוד שמופץ עם המכשיר שמטרתו העיקרית היא ניהול מכשירים מסובסד, עשוי להיות מוחרג מהקטגוריה של תוכנת הרוגלה, בתנאי שהן עומדות בהצלחה בדרישות לנעילה ולניהול מאובטחים, וכן דרישות מתאימות לחשיפת מידע ולהסכמה של משתמשים.

ביצוע רוט
קוד לרמה הבסיסית (root) של המכשיר.
יש הבדל בין קוד שורש לא זדוני לבין קוד זדוני. לדוגמה, אפליקציות עם הרשאות בסיס מיידעות את המשתמשים מראש על כך שהם עומדים לבצע את תהליך הרוט (Root) למכשיר, ושלא מבצעים פעולות אחרות שעלולות להזיק (PHA) החלות על קטגוריות אחרות של PHA.
אפליקציות זדוניות לידיעתך (root) לא מיידעות את המשתמש על כוונתו לבצע תהליך רוט (Root), או שהן מודיעות למשתמש מראש על תהליך הרוט, אבל גם מבצעות פעולות אחרות החלות על קטגוריות אחרות של אפליקציות שעלולות להזיק.

ספאם
קוד ששולח הודעות לא רצויות לאנשי הקשר של המשתמש או משתמש במכשיר כשם ספאם באימייל.

רוגלה:
קוד שמעביר מידע אישי מהמכשיר ללא הודעה או הסכמה מתאימה.
לדוגמה, העברת אחד מהפרטים הבאים ללא גילוי נאות או באופן שאינו צפוי למשתמש מספיקה כדי להיחשב כרוגלה:
- רשימת אנשי קשר
- תמונות או קבצים אחרים מכרטיס ה-SD או שאינם בבעלות האפליקציה
- תוכן מאימייל של משתמש
- יומן שיחות
- יומן ב-SMS
- היסטוריית אתרים או סימניות דפדפן של דפדפן ברירת המחדל
- מידע מתוך /data/ הספריות של אפליקציות אחרות.
גם התנהגויות שעלולות להיחשב כריגול על המשתמש עלולות להיות מסומנות כרוגלה. לדוגמה, הקלטה של שיחות אודיו או הקלטה שבוצעו בטלפון, או גניבה של נתוני האפליקציה.

טרויאני
קוד שנראה שהוא נעים, למשל משחק שטוען שהוא רק משחק, אבל מבצע פעולות לא רצויות נגד המשתמש.
הסיווג הזה משמש בדרך כלל בשילוב עם קטגוריות אחרות של PHA. לסוס טרויאני יש רכיב לא מעשי ורכיב מזיק מוסתר. לדוגמה, משחק ששולח הודעות SMS איכותיות מהמכשיר של המשתמש ברקע וללא ידיעת המשתמש.

לא נפוץ
אפליקציות חדשות ונדירות לא יסווגו כחריגות אם אין להן מספיק מידע ב-Play Protect כדי לנקות אותן. זה לא אומר שהאפליקציה בהכרח מזיקה, אבל לא ניתן לבדוק גם אותה כבטוחה.
תוכנה לא רצויה לנייד (MUwS)
Google מגדירה תוכנה לא רצויה (UwS) כאפליקציות שאינן תוכנות זדוניות לחלוטין, אך מזיקות לסביבה העסקית של התוכנות. תוכנה לא רצויה לנייד (MUwS) מתחזה לאפליקציות אחרות או אוספת לפחות אחד מהפריטים הבאים ללא הסכמת המשתמש:
- מספר הטלפון של המכשיר
- כתובת אימייל ראשית
- מידע על האפליקציות המותקנות
- מידע על חשבונות של צדדים שלישיים
מעקב אחר MUwS בנפרד מתוכנה זדונית. אפשר לראות את הקטגוריות של MUwS כאן.
אזהרות של Google Play Protect
כש-Google Play Protect מזהה הפרה של מדיניות התוכנות הזדוניות, מוצגת אזהרה למשתמש. מחרוזות אזהרה לכל הפרה זמינות כאן.