Nasze zasady dotyczące złośliwego oprogramowania są proste: ekosystem Androida, łącznie ze Sklepem Google Play, oraz urządzenia użytkowników powinny być wolne od złośliwych działań (wykonywanych np. przez złośliwe oprogramowanie). Kierując się tą podstawową zasadą, staramy się zapewnić użytkownikom i ich urządzenia z Androidem bezpieczny ekosystem.
Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika, jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy m.in. potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platformy, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana.
Złośliwe oprogramowanie ma różne formy i możliwości, jednak zwykle jest tworzone w jednym z tych celów:
- naruszenie integralności urządzenia użytkownika;
- Przejmij kontrolę nad urządzeniem użytkownika.
- Umożliwienie atakującym zdalnie sterowanych działań w celu uzyskania dostępu do zainfekowanego urządzenia, użycia go lub wykorzystania w inny sposób.
- przesyłać danych osobowych lub danych uwierzytelniających poza urządzenie bez odpowiedniego oświadczenia i zgody;
- rozsyłanie spamu lub poleceń z zainfekowanych urządzeń na inne urządzenia lub sieci.
- oszukanie użytkownika.
Aplikacja, plik binarny lub modyfikacja platformy mogą być szkodliwe, a przez to wywoływać złośliwe zachowanie, nawet jeśli nie taka była intencja ich twórców. Dzieje się tak, ponieważ aplikacje, pliki binarne i modyfikacje platformy mogą działać inaczej w zależności od różnych zmiennych. To, co szkodzi jednemu urządzeniu z Androidem, może wcale nie stanowić zagrożenia dla innego. Na przykład szkodliwe aplikacje korzystające z wycofanych interfejsów API do wykonywania szkodliwych działań nie mają wpływu na urządzenie z najnowszą wersją Androida, ale urządzenie z najnowszą wersją Androida może być narażone na ryzyko. Aplikacje, pliki binarne i modyfikacje platformy są oznaczane jako złośliwe oprogramowanie lub potencjalnie szkodliwe aplikacje, jeśli stwarzają wyraźne zagrożenie dla niektórych lub wszystkich urządzeń z Androidem i ich użytkowników.
Poniższe kategorie złośliwego oprogramowania odzwierciedlają nasze podstawowe przekonanie, że użytkownicy powinni rozumieć, w jaki sposób ich urządzenia są wykorzystywane. Promujemy też bezpieczny ekosystem, który umożliwia wprowadzanie innowacji i budowanie zaufania użytkowników.
Kategorie złośliwego oprogramowania
Backdoor
Kod, który umożliwia przeprowadzanie na urządzeniu niechcianych, potencjalnie szkodliwych, kontrolowanych zdalnie operacji.
Operacje te mogą obejmować działania, które mogłyby spowodować zaliczenie aplikacji, pliku binarnego lub modyfikacji platformy do jednej z kategorii złośliwego oprogramowania, jeśli zostałyby wykonane automatycznie. Ogólnie rzecz biorąc, określenie „backdoor” określa, w jaki sposób na urządzeniu może dojść do potencjalnie szkodliwych działań, dlatego nie jest on do końca zgodny z kategoriami takimi jak oszustwa związane z płatnościami czy komercyjne programy szpiegowskie. Z tego powodu podzbiór takich zabezpieczeń jest czasem traktowany przez Google Play Protect jak luka w zabezpieczeniach.
Oszustwa związane z płatnościami
Kod, który wprowadza użytkownika w błąd i powoduje automatyczne naliczanie opłat.
Oszustwa obejmujące płatności mobilne dzielimy na fałszywe SMS-y, połączenia i dodatkowe opłaty.
Oszustwa z wykorzystaniem SMS-ów
Jest to kod, który powoduje naliczanie dodatkowych opłat za wysyłanie SMS-ów specjalnych bez zgody użytkownika lub próbuje zamaskować aktywność związaną z obsługą SMS-ów przez ukrywanie umów albo powiadomień od operatora informujących użytkownika o naliczaniu opłat lub potwierdzających subskrypcję.
Czasami kod, technicznie rzecz biorąc, nie ukrywa wysyłania SMS-ów, ale wprowadza dodatkowe zachowania umożliwiające oszustwo. Może to być na przykład ukrywanie przed użytkownikiem fragmentów umowy o ujawnianiu informacji, przez co są one nieczytelne, a także warunkowe blokowanie SMS-ów od operatora informujących użytkownika o naliczaniu opłat lub potwierdzaniu subskrypcji.
Oszustwo połączeń
Jest to kod, który powoduje naliczanie opłat za połączenia telefoniczne bez uzyskania zgody użytkownika.
Oszustwa telefoniczne
Jest to kod, który nakłania użytkowników do zakupu subskrypcji lub treści z wykorzystaniem płatności przez operatora komórkowego.
Oszustwa obejmują dowolny rodzaj opłat poza specjalnymi SMS-ami i połączeniami. Może to być np. płatność bezpośrednio u operatora, bezprzewodowy punkt dostępu (WAP) czy mobilna transmisja danych. Jednym z najczęstszych rodzajów oszustw związanych z dostępem do kart kredytowych są opłaty za korzystanie z płatnych usług. Oszustwa takie mogą obejmować nakłanianie użytkowników do kliknięcia przycisku w cichym wczytywanym, przezroczystym komponencie WebView. Po wykonaniu tej czynności rozpoczyna się cykliczna subskrypcja i często zostaje przechwycony SMS lub e-mail z potwierdzeniem, aby użytkownicy nie zauważyli transakcji finansowej.
Oprogramowanie typu stalkerware
Kod, który zbiera z urządzenia prywatne lub wrażliwe dane użytkownika i przesyła je osobom trzecim (firmom lub innym osobom) na potrzeby monitorowania.
Aplikacje muszą zawierać odpowiednie powiadomienie o zbieraniu danych oraz uzyskać zgodę użytkowników. Opisaliśmy to w zasadach dotyczących danych użytkownika.
Jedynymi akceptowanymi aplikacjami do monitorowania są aplikacje stworzone i promowane jako przeznaczone wyłącznie do monitorowania innych osób, np. do monitorowania dzieci przez rodziców lub do zarządzania firmą, w celu monitorowania poszczególnych pracowników, pod warunkiem, że spełniają wszystkie wymagania opisane w dalszej części tego dokumentu. Nie mogą one być używane do śledzenia nikogo innego (np. współmałżonka), nawet za zgodą i wiedzą tej osoby oraz nawet przy wyświetlanym stałym powiadomieniu. Te aplikacje muszą wykorzystywać w pliku manifestu flagę metadanych IsMonitoringTool, aby prawidłowo oznaczać się jako aplikacje monitorujące.
Aplikacje do monitorowania muszą spełniać te wymagania:
- Aplikacje nie mogą prezentować się jako rozwiązania służące do szpiegowania lub podglądania.
- Aplikacje nie mogą ukrywać ani maskować działania funkcji śledzenia ani wprowadzać użytkowników w błąd co do takiej funkcji.
- Aplikacje muszą wyświetlać użytkownikom stałe powiadomienie przez cały czas działania oraz unikalną ikonę jasno określającą aplikację.
- Aplikacje muszą ujawniać funkcję monitorowania lub śledzenia w opisie w Sklepie Google Play.
- Aplikacje i ich strony w Google Play nie mogą w żaden sposób umożliwiać aktywowania ani użycia funkcji, które naruszają nasze warunki, np. nie mogą zawierać linków do niezgodnego pakietu APK spoza Google Play.
- Aplikacje muszą być zgodne z obowiązującymi przepisami prawa. Ponosisz pełną odpowiedzialność za to, aby Twoja aplikacja była zgodna z przepisami docelowego kraju lub regionu.
Więcej informacji znajdziesz w artykule na temat isMonitoringTool w Centrum pomocy dotyczącym flag.
Atak typu DoS
Jest to kod, który bez wiedzy użytkownika wykonuje atak typu DoS lub jest częścią rozproszonego ataku typu DoS na inne systemy i zasoby.
Może to na przykład polegać na wysyłaniu dużej liczby żądań HTTP w celu wygenerowania nadmiernego obciążenia zdalnych serwerów.
Narzędzia do pobierania szkodliwych plików
Jest to kod, który sam w sobie nie jest szkodliwy, ale pobiera inne potencjalnie szkodliwe aplikacje.
Kod może być uznany za służący do pobierania szkodliwych plików, jeśli:
- Istnieje podejrzenie, że kod został utworzony do pobierania potencjalnie szkodliwych aplikacji, pobrał potencjalnie szkodliwe aplikacje lub zawiera kod, który może pobierać i instalować aplikacje.
- Co najmniej 5% aplikacji pobranych przez ten kod to potencjalnie szkodliwe aplikacje. Minimalny próg to 500 zarejestrowanych pobrań aplikacji (25 zarejestrowanych pobrań potencjalnie szkodliwych aplikacji).
Główne przeglądarki i aplikacje do udostępniania plików nie są uznawane za szkodliwe programy do pobierania, jeśli:
- Nie zwiększają liczby pobrań bez interakcji użytkownika.
- Wszystkie pobrania potencjalnie szkodliwych aplikacji są uruchomione przez użytkowników, którzy wyrazili na to zgodę.
Zagrożenie bez Androida
Kod zawierający zagrożenia, które nie dotyczą Androida.
Takie aplikacje nie są szkodliwe dla użytkownika ani urządzenia z Androidem, ale zawierają komponenty, które mogą być szkodliwe dla innych platform.
Phishing
Kod, który stwarza pozory, że pochodzi z zaufanego źródła, żądający danych uwierzytelniających lub rozliczeniowych użytkownika w celu wysłania ich do osoby trzeciej. Ta kategoria dotyczy również kodu, który przechwytuje przesyłane dane logowania użytkownika.
Częstym celem ataków phishingowych są dane logowania do banku, numery kart kredytowych i dane logowania do kont internetowych w sieciach społecznościowych lub grach.
Nadużywanie podwyższonych uprawnień
Jest to kod, który narusza integralność systemu przez uszkodzenie piaskownicy aplikacji, zdobycie podwyższonych uprawnień albo zmianę lub wyłączenie dostępu do podstawowych funkcji związanych z bezpieczeństwem.
Przykłady:
- Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
- Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
- Aplikacja, która wyłącza SELinux.
Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.
ransomware,
Jest to kod, który częściowo lub w znacznym stopniu przejmuje kontrolę nad urządzeniem bądź danymi na urządzeniu i żąda od użytkownika płatności lub wykonania jakiejś czynności w celu zwolnienia kontroli.
Niektóre programy typu ransomware szyfrują dane na urządzeniu i żądają płatności w zamian za ich odszyfrowanie lub wykorzystują funkcje administracyjne urządzenia, dzięki czemu typowy użytkownik nie jest w stanie ich usunąć. Przykłady:
- Uniemożliwienie użytkownikowi dostępu do urządzenia i żądanie pieniędzy w zamian za zwrócenie kontroli.
- szyfrowanie danych na urządzeniu i żądanie płatności, po której rzekomo ma nastąpić odszyfrowanie;
- Wykorzystywanie funkcji menedżera zasad urządzenia i blokowanie usuwania aplikacji przez użytkownika.
Kod rozpowszechniany razem z urządzeniem, którego głównym celem jest finansowanie zarządzania urządzeniem, może być wykluczony z kategorii ransomware, jeśli spełni wymagania dotyczące bezpiecznego blokowania i zarządzania oraz odpowiedniego informowania użytkownika i uzyskiwania jego zgody.
Uzyskiwanie dostępu do roota
Jest to kod, który uzyskuje dostęp do roota na urządzeniu.
Istnieje różnica między nieszkodliwym a złośliwym kodem z dostępem do roota. Na przykład aplikacje z dostępem do roota powiadamiają użytkownika o zamiarze uzyskania dostępu do roota i nie wykonują innych potencjalnie szkodliwych działań, które są charakterystyczne dla innych potencjalnie szkodliwych aplikacji.
Złośliwe aplikacje z dostępem do roota nie informują użytkownika o zamiarze uzyskania takiego dostępu albo powiadamiają o tym użytkownika, ale wykonują też inne działania, które kwalifikują się do innych potencjalnie szkodliwych aplikacji.
Spam
Jest to kod, który wysyła niechciane wiadomości do kontaktów użytkownika lub wykorzystuje urządzenie jako usługę przekaźnika spamu w e-mailach.
programy szpiegowskie,
Programy szpiegowskie to szkodliwe aplikacje, kody lub zachowania, które zbierają, wydobywają lub udostępniają dane użytkownika lub urządzenia niezwiązane z funkcjami zgodnymi z zasadami.
Złośliwy kod lub zachowania, które mogą być uznane za szpiegowanie użytkownika lub wydobycie danych bez odpowiedniego powiadomienia lub odpowiedniej zgody również są uznawane za programy szpiegowskie.
Do naruszeń zasad dotyczących programów szpiegowskich należą między innymi:
- Nagrywanie dźwięku lub rozmów telefonicznych
- kradzież danych aplikacji
- aplikacja ze złośliwym kodem innej firmy (np. pakietem SDK), która przesyła dane poza urządzenie w sposób nieoczekiwany dla użytkownika lub bez odpowiedniego powiadomienia i zgody użytkownika;
Trojan
Kod, który wydaje się niegroźny, np. gra, która rzekomo jest grą, ale w rzeczywistości wykonuje niepożądane działania wobec użytkownika.
Tej klasyfikacji używa się zwykle w połączeniu z innymi kategoriami potencjalnie szkodliwych aplikacji. Trojan ma nieszkodliwy komponent i ukryty szkodliwy komponent. Może to być na przykład gra, która bez wiedzy użytkownika wysyła w tle specjalne SMS-y z urządzenia.
Uwaga na temat nietypowych aplikacji
Nowe lub rzadkie aplikacje mogą zostać uznane za nietypowe, jeśli Google Play Protect nie ma wystarczająco dużo informacji, aby uznać je za bezpieczne. Nie musi to oznaczać, że aplikacja jest szkodliwa, ale bez dokładniejszego sprawdzenia nie można jej też uznać za bezpieczną.
Oprogramowanie typu maskware
Aplikacja, która korzysta z różnych technik uciekania, aby udostępniać użytkownikowi różne lub fałszywe funkcje aplikacji. Aplikacje te ukazują się jako legalne aplikacje lub gry tak, by wyglądały na nieszkodliwe dla sklepów z aplikacjami, i używają takich technik jak zaciemnianie, dynamiczne wczytywanie kodu lub maskowanie w celu ujawnienia szkodliwych treści.
Oprogramowanie typu maskware jest podobne do innych kategorii potencjalnie szkodliwych aplikacji, zwłaszcza trojańskich, a główną różnicą jest stosowanie technik do zaciemniania złośliwego oprogramowania.
Niechciane oprogramowanie mobilne
Google definiuje niechciane oprogramowanie jako aplikacje, które nie są złośliwym oprogramowaniem, ale są szkodliwe dla ekosystemu oprogramowania. Niechciane oprogramowanie mobilne podszywa się pod inne aplikacje lub zbiera co najmniej jedną z tych informacji bez zgody użytkownika:
- Numer telefonu urządzenia
- główny adres e-mail;
- Informacje o zainstalowanych aplikacjach
- Informacje o kontach w usługach innych firm
Śledzenie aplikacji mobilnej w wyszukiwarce jest niezależne od złośliwego oprogramowania. Listę wszystkich wydawców treści znajdziesz tutaj.
Ostrzeżenia Google Play Protect
Gdy Google Play Protect wykryje naruszenie zasad dotyczących złośliwego oprogramowania, użytkownik zobaczy ostrzeżenie. Ciągi z ostrzeżeniami o poszczególnych naruszeniach znajdziesz tutaj.