我们的恶意软件政策很简单:保护 Android 生态系统(包括 Google Play 商店)和用户设备免遭恶意行为(例如恶意软件)的侵扰。秉持这一基本原则,我们积极致力于向用户及其 Android 设备提供安全的 Android 生态系统。
恶意软件是指任何可能给用户、用户数据或设备带来风险的代码。恶意软件包括但不限于潜在有害应用 (PHA)、二进制文件或框架修改,包括由特洛伊木马、钓鱼式攻击和间谍软件应用等类别。我们也在不断更新和添加新类别。
虽然恶意软件的类型和功能多种多样,但恶意软件通常具有以下目标之一:
- 损害用户设备的完整性。
- 控制用户的设备。
- 启用远程控制操作,以便攻击者访问、使用或以其他方式利用受感染的设备。
- 在未充分告知用户并征得同意的情况下,从设备上传输个人数据或凭据。
- 传播来自受感染设备的垃圾邮件或命令,以影响其他设备或网络。
- 欺诈用户。
应用、二进制文件或框架修改具有潜在危害性,因此即便这些内容本身无意造成危害,也可能会产生恶意行为。这是因为应用、二进制文件或框架修改的运作方式会因各种变量而异。因此,对一台 Android 设备有害的内容可能对其他 Android 设备完全构成风险。例如,搭载最新版 Android 的设备不受有害应用的侵害,这些应用使用已弃用的 API 执行恶意行为,但仍在运行早期版本 Android 的设备可能会面临风险。 如果应用、二进制文件或框架修改会给部分或所有 Android 设备和用户明确带来风险,则会被标记为恶意软件或 PHA。
下方的恶意软件类别反映了我们的基本理念,即用户应了解自己的设备使用情况,并推广安全的生态系统,助力系统稳健创新并打造值得信赖的用户体验。
恶意软件类别
后门程序
此类代码允许在设备上执行不需要的、可能有害的远程控制操作。
如果自动执行,这些操作可能包括将应用、二进制文件或框架修改归入其他恶意软件类别的行为。一般来说,后门程序描述了可能有害的操作在设备上发生的情况,因此与结算欺诈或商业间谍软件等类别并不完全一致。因此,在某些情况下,Google Play 保护机制会将部分后门程序视为漏洞。
账单欺诈
此类代码会通过蓄意欺骗的方式自动向用户收费。
移动设备账单欺诈分为短信欺诈、通话欺诈和收费欺诈。
短信欺诈
此类代码会在未经用户同意的情况下发送付费短信,或者试图通过隐藏披露协议或移动运营商向用户发送的收费或订阅确认通知短信来掩盖其短信活动,
某些代码尽管从技术层面披露了短信发送行为,但也会引入其他可能构成短信欺诈的行为。例如,对用户隐藏披露协议的部分内容,使其无法阅读;有条件地隐藏移动运营商向用户发送的收费或订阅确认通知短信。
电话欺诈
此类代码会在未征得用户同意的情况下通过调用收费号码向用户收取费用。
收费欺诈
此类代码会诱骗用户通过手机帐单代扣方式订阅或购买内容。
收费欺诈包括任何类型的收费(付费短信和付费电话除外)。 例如运营商直接代扣、无线应用协议 (WAP) 和移动电话传输。WAP 欺诈是最常见的付费欺诈类型之一。WAP 欺诈行为包括诱骗用户点击静默加载的透明 WebView 中的按钮。执行操作后,系统会启动周期性订阅,并且通常会入侵确认短信或电子邮件,以防止用户注意到金融交易。
跟踪软件(商业间谍软件)
此类代码会在未适当通知用户或征得用户同意的情况下,收集设备上的个人或敏感用户数据并/或将其传输出去,且不会显示表明正在执行此操作的常驻通知。
跟踪软件应用通过监控个人或敏感用户数据,以及向第三方传输这些数据或将此类数据提供给第三方来面向设备用户。
专为家长设计且专为跟踪孩子或企业管理而设计的应用,前提是这些应用完全符合下述要求。此类应用不得用于跟踪任何其他人(例如,配偶),无论跟踪目标是否知情或许可,也无论应用是否显示常驻通知,都是如此。
拒绝服务攻击 (DoS)
此类代码会在用户不知情的情况下对其他系统和资源执行拒绝服务攻击 (DoS),或者构成分布式 DoS 攻击的一部分。
例如,通过发送大量 HTTP 请求在远程服务器上产生过多负载,就可能发生这种情况。
恶意下载程序
此类代码本身没有潜在危害,但会下载其他 PHA。
在以下情况下,代码可能是恶意下载程序:
- 有理由相信它是为了传播 PHA 而创建的,并且已经下载了 PHA 或包含可下载并安装应用的代码;或者
- 通过它下载的应用中有至少 5% 是 PHA,最低阈值为 500(观察到的 PHA 下载)。
只要符合以下条件,主要浏览器和文件共享应用就不属于恶意下载程序:
- 它们不会在没有用户互动的情况下提升下载量;并且
- 所有 PHA 下载都是在用户同意的情况下启动的。
非 Android 威胁
包含非 Android 威胁的代码。
这些应用不会损害 Android 用户或设备,但包含可能对其他平台有害的组件。
钓鱼式攻击
此类代码会假装来自可信来源,请求获取用户的身份验证凭据或结算信息,并将数据发送给第三方。此类别也适用于在用户凭据传输过程中拦截传输行为的代码。
钓鱼式攻击的常见目标包括银行凭据、信用卡号和社交网络和游戏的在线帐号凭据。
滥用超出规定的权限的行为
此类代码通过以下方式破坏系统完整性:破坏应用沙盒、获取超出规定的权限,或者更改或禁止核心安全相关功能的访问权限。
例如:
- 应用违反 Android 权限模型,或从其他应用窃取凭据(例如 OAuth 令牌)。
- 应用滥用功能,防止其被卸载或停止。
- 停用 SELinux 的应用。
未经用户同意取得 root 权限的设备会被用来获取 root 权限。
勒索软件
此类代码会对设备或设备上的数据施加一定程度或严密的控制,用户必须付款或执行某项操作才能解除控制。
有些勒索软件会加密设备上的数据,要求付款后才会解密数据,并且/或者会利用设备管理功能,使普通用户无法移除这些数据。例如:
- 使用户无法登录设备并需要付费以恢复用户控制权。
- 对设备上的数据进行加密,并要求通过加密方式解密数据。
- 利用设备政策管理器功能并阻止用户移除。
如果使用设备分发的代码的主要目的是补贴设备管理,则我们可能会不将这类代码视为勒索软件,但前提是这类代码成功满足安全锁定和管理要求,并充分满足用户披露和用户意见征求要求。
启用 root 权限
获取设备 root 权限的代码。
启用 root 权限的非恶意代码是有区别的。例如,要取得 root 权限的应用会提前告知用户它们将启用设备的 root 权限,并且不会执行属于其他 PHA 类别的其他潜在危害操作。
植入 root 权限的恶意应用不会告知用户它们将启用设备的 root 权限,或者会提前告知用户启用 root 权限的行为,但是还会执行属于其他 PHA 类别的其他操作。
垃圾内容
此类代码会向用户的联系人发送垃圾消息,或将设备用作垃圾邮件中继。
间谍软件
此类代码会在未适当通知用户或征得用户同意的情况下,将设备上的个人数据传输出去。
例如,在未披露的情况下或以出乎用户意料的方式传输以下任何信息就足以被视为间谍软件:
- 联系人列表
- SD 卡中的照片或其他文件,或该应用无权使用的照片或其他文件
- 用户电子邮件中的内容
- 通话记录
- 短信日志
- 默认浏览器的网络历史记录或浏览器书签
- 来自其他应用的 /data/ 目录的信息。
可视为对用户执行间谍活动的行为也可能会被标记为间谍软件。例如,录音或对通话录音,或窃取应用数据。
特洛伊木马
此类代码看似没有问题(例如声称自己只是一款游戏的游戏),但会针对用户执行用户不想要的操作。
此类别通常与其他 PHA 类别结合使用。 特洛伊木马由一个看似无害的组件和一个隐藏的有害组件构成。例如,某游戏在用户不知情的情况下,从用户的设备在后台发送付费短信。
不常见
如果 Google Play 保护机制没有足够的信息来清除它们,则新应用和罕见应用可能会被归类为“不常见”。这并不意味着应用肯定有害,但未经进一步审核,系统也无法将其清除为安全应用。
移动垃圾软件 (MUwS)
Google 将垃圾软件 (UwS) 定义为并非严格控制恶意软件,但会对软件生态系统有害的应用。移动垃圾软件 (MUwS) 会冒充其他应用或在未经用户同意的情况下至少收集以下其中一项数据:
- 设备电话号码
- 主电子邮件地址
- 已安装应用的相关信息
- 第三方帐号相关信息
MUwS 与恶意软件是分开进行跟踪的。 您可以在此处查看 MUwS 类别。
Google Play 保护机制警告
如果 Google Play 保护机制检测到违反了恶意软件政策,就会向用户显示警告。您可以点击此处查看每种违规行为的警告字符串。