我们的恶意软件政策很简单:保护 Android 生态系统(包括 Google Play 商店)和用户设备免遭恶意行为(例如恶意软件攻击)侵扰。秉持这一基本原则,我们积极致力于向用户及其 Android 设备提供安全的 Android 生态系统。
恶意软件是指任何可能给用户、用户数据或设备带来风险的代码。恶意软件包括但不限于潜在有害应用 (PHA)、二进制文件或框架修改,其中包括特洛伊木马、钓鱼式攻击和间谍软件应用等类别。我们会不断更新并添加新类别。
虽然恶意软件的类型和功能有别,但通常都是为了达成以下某种目的:
- 破坏用户设备的完整性。
- 获得用户设备的控制权。
- 实现远程控制操作,以便攻击者访问、使用或以其他方式利用受感染的设备。
- 在未充分告知用户并征得同意的情况下,擅自将个人数据或凭据从设备上传输出去。
- 通过受感染的设备传播垃圾内容或命令,从而影响其他设备或网络。
- 欺骗用户。
应用、二进制文件或框架修改具有潜在危害性,因此会产生恶意行为,即使这些修改并非有意造成危害。这是因为,应用、二进制文件或框架修改可能会根据各种变量以不同的方式运作。因此,对一台 Android 设备有害的内容可能不会对其他 Android 设备造成任何风险。例如,搭载最新版 Android 的设备不会受到使用已废弃 API 执行恶意行为的有害应用的影响,但搭载 Android 早期版本的设备可能存在风险。如果应用、二进制文件或框架修改明显会给部分或所有 Android 设备和用户带来风险,就会被标记为恶意软件或 PHA。
以下恶意软件类别反映了我们的基本理念:用户应该了解其设备被利用的方式,并倡导安全的生态系统,以实现稳健的创新和值得信赖的用户体验。
恶意软件类别
后门程序
此类代码允许在设备上执行不需要的、可能有害的远程控制操作。
如果自动执行,这些操作可能包括会导致应用、二进制文件或框架修改归入其他某个恶意软件类别的行为。一般来说,后门程序描述了潜在有害操作在设备上可能发生的方式,因此与账单欺诈或商业间谍软件等类别并不完全对应。因此,在某些情况下,Google Play 保护机制会将部分后门程序视为漏洞。
账单欺诈
此类代码会通过蓄意欺骗的方式自动向用户收费。
手机账单欺诈分为短信欺诈、电话欺诈和收费欺诈。
短信欺诈
此类代码会在未经用户同意的情况下发送付费短信,或试图通过隐藏披露协议或移动运营商向用户发送的收费或订阅确认通知短信来掩盖其短信活动,从而向用户收取费用。
有些代码虽然从技术层面来讲披露了短信发送行为,但会引入其他可能构成短信欺诈的行为。例如,对用户隐藏披露协议的部分内容,使其无法阅读,有条件地屏蔽移动运营商向用户发送的收费或订阅确认通知短信。
电话欺诈
此类代码会在未经用户同意的情况下通过拨打高费率电话号码向用户收取费用。
话费欺诈
此类代码会诱骗用户通过手机账单代扣方式订阅或购买内容。
收费欺诈包括除付费短信和付费电话欺诈之外所有类型的账单欺诈。相关示例包括运营商直接代扣、无线应用协议 (WAP) 和移动通话时间转接。WAP 欺诈是最常见的话费欺诈之一。WAP 欺诈可能包括诱骗用户点击静默加载的透明 WebView 上的按钮。执行操作后,系统会启动周期性订阅,并且系统通常会劫持确认短信或电子邮件,以防止用户注意到相关财务交易。
跟踪软件(商业间谍软件)
此类代码会在未适当通知用户或征得用户同意的情况下,收集设备上的个人或敏感用户数据并/或将其传输出去,并且不会显示表明正在执行此操作的常驻通知。
跟踪软件应用以设备用户为目标,监控用户的个人或敏感用户数据,并将这些数据传输给第三方或使其可供第三方获取。
专为家长跟踪孩子或企业管理而设计和推广且完全符合下述要求的应用,才是可接受的监控应用。此类应用不得用于跟踪任何其他人(例如,配偶),无论跟踪目标是否知情或许可,也无论应用是否显示常驻通知,都是如此。
拒绝服务攻击 (DoS)
此类代码会在用户不知情的情况下对其他系统和资源执行拒绝服务攻击 (DoS),或构成分布式 DoS 攻击的一部分。
例如,如果发送大量 HTTP 请求使远程服务器上产生过多负载,就可能会发生这种情况。
恶意下载程序
此类代码本身没有潜在危害,但会下载其他 PHA。
如果出现以下情况,相应代码就可能是恶意下载程序:
- 我们有理由认为它是为了传播 PHA 而开发的,并且已经下载了 PHA,或包含可下载并安装应用的代码;或者
- 在监测到的下载次数下限为 500 的情况下,检测到它下载的应用中至少有 5% 是 PHA(检测到 25 次 PHA 下载)。
只要满足以下条件,主流浏览器和文件共享应用就不会被视为恶意下载程序:
- 它们不会在无用户互动的情况下吸引用户下载;并且
- 所有 PHA 下载都是在用户同意的情况下启动的。
非 Android 威胁
代码中包含非 Android 威胁。
这些应用不会对 Android 用户或设备造成危害,但包含可能对其他平台有害的组件。
钓鱼式攻击
此类代码会假装来自可信来源,请求获取用户的身份验证凭据或结算信息,并向第三方发送数据。此类别也适用于在用户凭据传输过程中拦截传输行为的代码。
钓鱼式攻击的常见目标包括银行凭据、信用卡号,以及社交网络和游戏的在线帐号凭据。
滥用提升的权限的行为
此类代码通过以下方式破坏系统完整性:破坏应用沙盒、获取超出规定的权限,或者更改或禁止核心安全相关功能的访问权限。
例如:
- 应用违反 Android 权限模型,或从其他应用窃取凭据(例如 OAuth 令牌)。
- 应用滥用防卸载或防关停功能。
- 应用停用 SELinux。
未经用户许可取得设备 root 权限的提权应用会被归类为获取 root 权限的应用。
勒索软件
此类代码会对设备或设备上的数据施加一定程度或严密的控制,用户必须付款或执行某项操作才能解除控制。
某些勒索软件会加密设备上的数据,要求用户付款才能解密数据,并且/或者会利用设备管理功能,让普通用户无法移除这些数据。例如:
- 将用户锁定在设备之外并要求用户花钱才能恢复用户的控制权。
- 加密设备上的数据并要求付款(以解密数据为由)。
- 利用设备政策管理器功能,阻止用户将其移除。
使用设备分发的代码如果主要用途是实现补贴设备管理,则可能会被排除在勒索软件类别之外,前提是这些代码完全满足安全锁定和管理要求,并充分满足用户披露和征求用户同意的要求。
获取 root 权限
此类代码会启用设备的 root 权限。
启用 root 权限的代码有非恶意和恶意之分。例如,获取 root 权限的应用会提前告知用户他们将启用设备的 root 权限,并且不会执行属于其他 PHA 类别的其他潜在有害操作。
启用 root 权限的恶意应用不会告知用户它们将启用设备的 root 权限,或者会提前告知用户启用 root 权限的行为,但仍会执行属于其他 PHA 类别的其他操作。
垃圾内容
此类代码会向用户的联系人发送垃圾消息,或将设备用作垃圾邮件中继。
间谍软件
此类代码会在未适当通知用户或征得用户同意的情况下,将个人数据从设备上传输出去。
例如,在未披露的情况下或以用户出乎用户意料的方式传输以下任何信息即视为间谍软件:
- 联系人列表
- SD 卡中的照片或其他文件,或该应用不具有的照片或其他文件
- 用户电子邮件中的内容
- 通话记录
- 短信日志
- 默认浏览器的网络历史记录或浏览器书签
- 其他应用的 /data/ 目录中的信息。
可视为对用户执行间谍活动的行为也可能会被标记为间谍软件。例如,录音或对手机进行通话录音,或窃取应用数据。
特洛伊木马
此类代码看似没有问题(例如声称自己只是一款游戏的游戏),但会针对用户执行用户不想要的操作。
这种分类通常与其他 PHA 类别结合使用。 特洛伊木马包含一个无害组件和一个隐藏的有害组件。例如,某款游戏在用户不知情的情况下在后台从用户的设备发送付费短信。
不常见
对于全新和稀有应用,如果 Google Play 保护机制掌握的信息不足,无法明确这些应用,可以将其归类为不常见的应用。这并不意味着该应用一定有害,但如果未经进一步审核,也不能明确确定其安全。
口罩
应用利用各种规避技术,以便为用户提供不同的应用功能或虚假应用功能。 这类应用伪装成合法应用或游戏,使其对应用商店无害,并利用混淆、动态代码加载或伪装等技术来发现恶意内容。
Maskware 与其他 PHA 类别(尤其是特洛伊木马)类似,其主要区别在于用于混淆恶意活动的技术。
移动垃圾软件 (MUwS)
Google 将垃圾软件 (UwS) 定义为并非严格意义上的恶意软件,但会对软件生态系统有害的应用。 移动垃圾软件 (MUwS) 会在未经用户同意的情况下冒充其他应用或收集以下至少一项数据:
- 设备电话号码
- 主电子邮件地址
- 已安装应用的相关信息
- 第三方账号的相关信息
MUwS 与恶意软件是分开跟踪的。 您可以点击此处查看 MUwS 类别。
Google Play 保护机制警告
当 Google Play 保护机制检测到违反恶意软件政策的行为时,系统会向用户显示警告。您可以在此处查看每种违规行为的警告字符串。