Chính sách của chúng tôi về phần mềm độc hại rất đơn giản. Mục đích của chính sách này là nhằm đảm bảo không có những hành vi gây hại (ví dụ: phần mềm độc hại) trên thiết bị của người dùng và trong hệ sinh thái Android, bao gồm cả Cửa hàng Google Play. Dựa trên nguyên tắc cơ bản này, chúng tôi luôn cố gắng xây dựng một hệ sinh thái Android an toàn cho người dùng cũng như cho các thiết bị Android của họ.
Phần mềm độc hại là các mã có thể gây rủi ro cho người dùng, dữ liệu của người dùng hoặc thiết bị. Phần mềm độc hại bao gồm nhưng không chỉ gồm những Ứng dụng có khả năng gây hại (PHA), tệp nhị phân hoặc nội dung chỉnh sửa khung ứng dụng. Có nhiều loại phần mềm độc hại, chẳng hạn như phần mềm trojan, phần mềm lừa đảo và ứng dụng gián điệp. Chúng tôi không ngừng cập nhật và bổ sung danh mục các loại phần mềm độc hại mới.
Dù đa dạng về loại hình và tác hại, nhưng mục tiêu chung của những phần mềm độc hại này thường là:
- Xâm phạm tính toàn vẹn trong thiết bị của người dùng.
- Giành quyền kiểm soát thiết bị của người dùng.
- Cho phép kẻ tấn công thực hiện điều khiển từ xa để truy cập, sử dụng hoặc khai thác thiết bị bị nhiễm vi-rút.
- Truyền dữ liệu cá nhân hoặc thông tin xác thực ra khỏi thiết bị khi chưa công bố và nhận được sự đồng ý đầy đủ.
- Phát tán thư rác hoặc lệnh từ thiết bị đã nhiễm mã độc để gây ảnh hưởng đến các thiết bị hoặc mạng khác.
- Lừa gạt người dùng.
Một ứng dụng, tệp nhị phân hoặc nội dung chỉnh sửa khung ứng dụng có thể tiềm ẩn nguy cơ gây hại, do đó, có thể tạo ra hành vi độc hại, ngay cả khi ứng dụng đó không nhằm mục đích gây hại. Lý do là ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung có thể hoạt động theo cách khác nhau tuỳ thuộc vào nhiều biến số. Do đó, những gì gây hại cho một thiết bị Android có thể không gây rủi ro cho thiết bị Android khác. Ví dụ: một thiết bị chạy phiên bản Android mới nhất sẽ không chịu ảnh hưởng của các ứng dụng có hại sử dụng API không dùng nữa để thực hiện hành vi độc hại, nhưng thiết bị vẫn đang chạy phiên bản Android rất sớm có thể gặp rủi ro. Ứng dụng, tệp nhị phân hoặc nội dung chỉnh sửa khung ứng dụng sẽ bị gắn cờ là phần mềm độc hại hoặc ứng dụng có khả năng gây hại nếu chúng rõ ràng gây rủi ro cho một số hoặc tất cả người dùng và thiết bị Android.
Các danh mục phần mềm độc hại dưới đây phản ánh niềm tin cơ bản của chúng tôi rằng người dùng cần hiểu rõ cách thiết bị của họ đang được tận dụng, đồng thời thúc đẩy một hệ sinh thái bảo mật thúc đẩy sự đổi mới mạnh mẽ và mang đến trải nghiệm đáng tin cậy cho người dùng.
Danh mục phần mềm độc hại
Cửa sau
Loại mã cho phép thực thi những thao tác điều khiển từ xa không mong muốn và có thể gây hại trên thiết bị.
Những thao tác này có thể bao gồm hành vi khiến ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung ứng dụng rơi vào một trong các danh mục phần mềm độc hại khác (nếu được thực thi tự động). Nhìn chung, cửa hậu là nội dung mô tả cách một hoạt động có khả năng gây hại có thể xảy ra trên một thiết bị. Do đó, cửa hậu không hoàn toàn giống với các danh mục như gian lận thanh toán hoặc phần mềm gián điệp thương mại. Do đó, trong một số trường hợp, Google Play Protect sẽ coi một nhóm nhỏ các cửa sau là lỗ hổng bảo mật.
Gian lận thanh toán
Loại mã chủ ý lừa đảo để tự động tính phí người dùng.
Có 3 loại mã lừa đảo khi thanh toán trên thiết bị di động: Lừa đảo qua tin nhắn SMS, Lừa đảo bằng cách gọi điện và Lừa đảo qua cước phí.
Lừa đảo qua tin nhắn SMS
Loại mã tính phí người dùng gửi tin nhắn SMS trả phí khi chưa có sự đồng ý, hoặc tìm cách che giấu hoạt động tin nhắn SMS của người dùng bằng cách che giấu thoả thuận tiết lộ thông tin hoặc tin nhắn SMS của nhà mạng di động thông báo cho người dùng về các khoản phí hoặc xác nhận gói thuê bao.
Một số mã mặc dù về mặt kỹ thuật có tiết lộ hoạt động gửi tin nhắn SMS nhưng vẫn thực hiện các hành vi khác tạo điều kiện lừa đảo bằng tin nhắn SMS. Ví dụ: ẩn một số phần trong thoả thuận công bố thông tin để người dùng không đọc được những phần đó, đồng thời chặn có điều kiện tin nhắn SMS của nhà mạng di động để thông báo cho người dùng về các khoản phí hoặc xác nhận gói thuê bao.
Lừa đảo cuộc gọi
Loại mã tính phí người dùng bằng cách gọi đến các số điện thoại đặc biệt mà không có sự đồng ý của người dùng.
Lừa đảo qua cước phí
Loại mã lừa người dùng đăng ký hoặc mua nội dung qua hoá đơn cước phí điện thoại di động.
Lừa đảo qua cước phí áp dụng cho mọi hình thức thanh toán, ngoại trừ tin nhắn SMS và cuộc gọi đặc biệt. Một số ví dụ bao gồm thanh toán trực tiếp qua nhà mạng, điểm truy cập không dây (WAP) và chuyển khoản trong thời gian phát sóng qua thiết bị di động. Lừa đảo qua WAP là một trong những hình thức lừa đảo qua cước phí phổ biến nhất. Hành vi lừa đảo qua WAP có thể bao gồm hành vi lừa người dùng nhấp vào một nút trên một WebView trong suốt và tự tải mà không thông báo. Khi người dùng thực hiện thao tác này, hệ thống sẽ bắt đầu thực hiện một gói thuê bao định kỳ, đồng thời xâm nhập email hoặc tin nhắn SMS xác nhận để ngăn người dùng nhận thấy có giao dịch tài chính đang diễn ra.
Phần mềm theo dõi
Mã thu thập dữ liệu cá nhân hoặc nhạy cảm của người dùng từ một thiết bị rồi truyền dữ liệu đó cho bên thứ ba (doanh nghiệp hoặc cá nhân khác) nhằm mục đích giám sát.
Ứng dụng phải cung cấp đầy đủ thông tin công bố nổi bật và nhận được sự đồng ý theo yêu cầu của Chính sách dữ liệu người dùng.
Loại ứng dụng giám sát duy nhất được chúng tôi chấp nhận là ứng dụng được thiết kế và tiếp thị riêng cho mục đích giám sát người khác, ví dụ như cha mẹ giám sát con cái hoặc ban quản lý doanh nghiệp, để giám sát từng nhân viên, với điều kiện ứng dụng đó hoàn toàn tuân thủ những yêu cầu được mô tả ở phần sau của tài liệu này. Người dùng không được dùng những ứng dụng như vậy để theo dõi người khác (ví dụ như vợ/chồng) ngay cả khi họ biết và đồng ý với việc theo dõi đó, bất kể ứng dụng có cho thấy thông báo liên tục về hoạt động theo dõi hay không. Những ứng dụng như vậy phải sử dụng cờ siêu dữ liệu IsMonitoringTool trong tệp kê khai để tự chỉ định rõ ràng việc ứng dụng đó là ứng dụng giám sát.
Ứng dụng giám sát phải tuân thủ các yêu cầu sau:
- Ứng dụng không được tự giới thiệu là một giải pháp gián điệp hoặc giám sát bí mật.
- Ứng dụng không được ẩn hoặc che giấu hành vi theo dõi hoặc tìm cách đánh lừa người dùng về chức năng như vậy.
- Ứng dụng phải luôn hiển thị cho người dùng một thông báo liên tục khi ứng dụng đang chạy và một biểu tượng duy nhất giúp nhận dạng rõ ứng dụng đó.
- Ứng dụng phải công bố chức năng giám sát hoặc theo dõi trong phần mô tả trên Cửa hàng Google Play.
- Ứng dụng và trang thông tin ứng dụng trên Google Play không được cung cấp phương thức kích hoạt hoặc truy cập chức năng nào vi phạm các điều khoản này, chẳng hạn như việc liên kết đến một tệp APK không tuân thủ được lưu trữ bên ngoài Google Play.
- Ứng dụng phải tuân thủ mọi luật hiện hành. Bạn chịu hoàn toàn trách nhiệm xác định tính hợp pháp của ứng dụng tại địa điểm mà ứng dụng nhắm đến.
Hãy tham khảo bài viết về việc Sử dụng cờ isMonitoringTool trong Trung tâm trợ giúp để biết thêm thông tin.
Từ chối dịch vụ (DoS)
Loại mã mà người dùng không biết, thực thi cuộc tấn công từ chối dịch vụ (DoS) hoặc là một phần của cuộc tấn công từ chối dịch vụ được phân phối nhắm vào các hệ thống và tài nguyên khác.
Ví dụ: điều này có thể xảy ra khi gửi một lượng lớn các yêu cầu HTTP để tạo ra quá nhiều tải trên các máy chủ từ xa.
Trình tải ứng dụng gây hại
Loại mã về bản chất không có nguy cơ gây hại, nhưng lại tải các ứng dụng có khả năng gây hại khác xuống.
Mã có thể là trình tải ứng dụng gây hại nếu:
- Bạn có lý do để tin rằng mã này được tạo để phát tán ứng dụng có khả năng gây hại và đã tải các ứng dụng này xuống hoặc có chứa mã có thể tải và cài đặt ứng dụng; hoặc
- Ít nhất 5% số ứng dụng được tải xuống qua mã này là ứng dụng có khả năng gây hại với ngưỡng tối thiểu là 500 lượt tải xuống được ghi nhận (phát hiện thấy 25 ứng dụng có khả năng gây hại).
Các trình duyệt lớn và ứng dụng chia sẻ tệp không được xem là phần mềm tải ứng dụng có khả năng gây hại xuống, miễn là:
- Trình duyệt/ứng dụng không tải nội dung xuống khi người dùng không thực hiện thao tác tải xuống; và
- Tất cả ứng dụng có khả năng gây hại đã tải xuống đều có sự đồng ý của người dùng.
Mối đe doạ không phải Android
Mã chứa các mối đe doạ không thuộc Android.
Những ứng dụng này không thể gây hại cho người dùng hoặc thiết bị Android, nhưng chứa các thành phần có thể gây hại cho nền tảng khác.
Hành vi lừa đảo
Mã giả vờ đến từ một nguồn đáng tin cậy, yêu cầu người dùng cung cấp thông tin thanh toán hoặc thông tin xác thực rồi gửi dữ liệu cho bên thứ ba. Danh mục này cũng áp dụng cho mã chặn quá trình truyền thông tin đăng nhập của người dùng trong quá trình truyền.
Mục tiêu phổ biến của hành vi lừa đảo bao gồm thông tin đăng nhập ngân hàng, số thẻ tín dụng và thông tin đăng nhập tài khoản trực tuyến cho các mạng xã hội và trò chơi.
Hành vi lợi dụng đặc quyền cấp cao
Loại mã làm tổn hại tính toàn vẹn của hệ thống bằng việc phá vỡ hộp cát của ứng dụng, chiếm đặc quyền cấp cao, hoặc thay đổi hay vô hiệu hoá quyền truy cập vào các chức năng cốt lõi liên quan đến bảo mật.
Ví dụ:
- Ứng dụng vi phạm mô hình quản lý quyền của Android hoặc đánh cắp thông tin đăng nhập (như mã thông báo OAuth) qua các ứng dụng khác.
- Ứng dụng lợi dụng các tính năng để ngăn người dùng gỡ cài đặt hoặc vô hiệu hóa ứng dụng.
- Ứng dụng vô hiệu hoá SELinux.
Nếu sở hữu đặc quyền cấp cao để can thiệp vào hệ thống của thiết bị khi chưa được người dùng cho phép, ứng dụng sẽ được phân loại là ứng dụng can thiệp hệ thống.
Phần mềm tống tiền
Mã kiểm soát một phần hoặc phần lớn thiết bị hoặc dữ liệu trên thiết bị và yêu cầu người dùng thanh toán hoặc thực hiện một hành động để mất quyền kiểm soát.
Một số phần mềm tống tiền mã hoá dữ liệu trên thiết bị và yêu cầu người dùng trả tiền để giải mã dữ liệu và/hoặc tận dụng các tính năng quản trị thiết bị để người dùng thông thường không thể xoá phần mềm đó. Ví dụ:
- Khoá thiết bị của người dùng và đòi tiền để khôi phục quyền kiểm soát của người dùng.
- Mã hoá dữ liệu trên thiết bị rồi đòi tiền, có vẻ như là để giải mã dữ liệu.
- Lợi dụng các tính năng quản lý chính sách của thiết bị và khiến người dùng không thể xoá nội dung.
Mã được phân phối cùng với thiết bị có mục đích chính là để quản lý thiết bị được trợ giá có thể bị loại trừ khỏi danh mục phần mềm tống tiền, miễn là mã đó đáp ứng thành công các yêu cầu về việc quản lý và khoá bảo mật, cũng như các yêu cầu đầy đủ về việc công bố thông tin cho người dùng và sự đồng ý của người dùng.
can thiệp vào hệ thống
Mã can thiệp vào hệ thống của thiết bị.
Có sự khác biệt giữa mã can thiệp vào hệ thống không gây hại và mã độc. Ví dụ: ứng dụng can thiệp vào hệ thống cho người dùng biết trước rằng họ sẽ can thiệp vào hệ thống của thiết bị và chúng không thực thi những hành động có khả năng gây hại khác áp dụng cho các danh mục ứng dụng có khả năng gây hại khác.
Ứng dụng can thiệp vào hệ thống độc hại sẽ không báo cho người dùng biết rằng ứng dụng sẽ can thiệp vào hệ thống của thiết bị, hoặc có thông báo trước cho người dùng về việc can thiệp vào hệ thống mà vẫn thực hiện các hành động khác áp dụng cho các danh mục ứng dụng có khả năng gây hại khác.
Nội dung rác
Loại mã gửi tin nhắn không mong muốn đến những người liên hệ của người dùng hoặc sử dụng thiết bị để chuyển tiếp email rác.
Phần mềm gián điệp
Phần mềm gián điệp là một ứng dụng, mã hoặc hành vi độc hại thu thập, đánh cắp hoặc chia sẻ dữ liệu người dùng hay thiết bị không liên quan đến chức năng tuân thủ chính sách.
Mã hoặc hành vi độc hại có thể được coi là theo dõi người dùng hoặc đánh cắp dữ liệu mà không thông báo đầy đủ hoặc không có sự đồng ý của người dùng cũng bị coi là phần mềm gián điệp.
Ví dụ: các lỗi vi phạm phần mềm gián điệp bao gồm nhưng không giới hạn ở:
- Ghi âm hoặc ghi âm cuộc gọi đến điện thoại
- Đánh cắp dữ liệu ứng dụng
- Một ứng dụng có mã độc hại của bên thứ ba (ví dụ: SDK) truyền dữ liệu ra khỏi thiết bị theo cách bất ngờ đối với người dùng và/hoặc khi chưa thông báo đầy đủ cho người dùng hay chưa nhận được sự đồng ý của người dùng.
Phần mềm trojan
Loại mã có vẻ vô hại, chẳng hạn như một trò chơi tuyên bố chỉ là một trò chơi nhưng lại thực hiện những hành động không mong muốn đối với người dùng.
Phân loại này thường được sử dụng kết hợp với các loại PHA (ứng dụng có khả năng gây hại) khác. Phần mềm trojan chứa một thành phần vô hại và một thành phần gây hại được ẩn giấu. Ví dụ: một trò chơi gửi tin nhắn SMS có tính phí từ thiết bị của người dùng ở chế độ nền mà người dùng không biết.
Lưu ý về ứng dụng không phổ biến
Các ứng dụng mới và hiếm gặp có thể được phân loại là không phổ biến nếu Google Play Protect không có đủ thông tin để xác định rằng những ứng dụng đó an toàn. Điều này không có nghĩa là ứng dụng đó có hại. Tuy nhiên, không thể xác định rằng ứng dụng đó an toàn nếu không được xem xét thêm.
Phần mềm trá hình
Một ứng dụng sử dụng nhiều kỹ thuật né tránh để phục vụ người dùng chức năng khác biệt hoặc giả mạo của ứng dụng. Những ứng dụng này che giấu bản thân là ứng dụng hoặc trò chơi hợp pháp để tỏ ra vô hại trước các cửa hàng ứng dụng. Đồng thời, những ứng dụng này dùng các kỹ thuật như làm rối mã nguồn, tải mã động hoặc kỹ thuật che giấu để phát hiện nội dung độc hại.
Phần mềm ẩn danh cũng giống như các loại ứng dụng có khả năng gây hại khác, cụ thể là trojan, chỉ khác ở chỗ các kỹ thuật dùng để làm rối mã nguồn của hoạt động độc hại đó.
Phần mềm không mong muốn trên thiết bị di động (MUwS)
Google định nghĩa phần mềm không mong muốn (UwS) là ứng dụng không phải là phần mềm độc hại nghiêm ngặt nhưng có hại cho hệ sinh thái phần mềm. Phần mềm không mong muốn trên thiết bị di động (MUwS) mạo danh các ứng dụng khác hoặc thu thập ít nhất một trong những nội dung sau đây mà không có sự đồng ý của người dùng:
- Số điện thoại của thiết bị
- Địa chỉ email chính
- Thông tin về các ứng dụng đã cài đặt
- Thông tin về tài khoản bên thứ ba
MUwS được theo dõi riêng biệt với phần mềm độc hại. Bạn có thể xem các danh mục MUwS tại đây.
Cảnh báo của Google Play Protect
Khi Google Play Protect phát hiện thấy lỗi vi phạm chính sách về phần mềm độc hại, người dùng sẽ thấy một cảnh báo. Bạn có thể xem các chuỗi cảnh báo cho từng lỗi vi phạm tại đây.