Unsere Richtlinie zu Malware ist einfach: kein böswilliges Verhalten wie Malware bei Android, im Google Play Store und auf Geräten von Nutzern. Mit diesem Grundsatz möchten wir Android zu einer möglichst sicheren Plattform für unsere Nutzer und ihre Geräte machen.
Malware ist jeglicher Code, der eine Gefahr für Nutzer, ihre Daten und ihre Geräte darstellt. Beispiele sind potenziell schädliche Apps (PSAs), Binärprogramme und Framework-Änderungen, wie z. B. Trojaner, Phishing- oder Spyware-Apps. Diese Kategorien werden von uns regelmäßig aktualisiert und ergänzt.
Malware kann sich hinsichtlich ihrer Art und Funktion zwar unterscheiden, verfolgt aber in der Regel eines der folgenden Ziele:
- Die Integrität des Geräts kompromittieren
- Die Kontrolle über das Gerät übernehmen
- Ferngesteuerte Vorgänge ermöglichen, mit denen Angreifer auf das betroffene Gerät zugreifen, es verwenden oder es anderweitig missbrauchen können.
- Personenbezogene Daten oder Anmeldedaten ohne ausreichende Offenlegung oder Zustimmung des Nutzers vom betroffenen Gerät aus versenden
- Spam oder Befehle über das betroffene Gerät verbreiten, um andere Geräte oder Netzwerke zu beeinträchtigen.
- Den Nutzer betrügen
Apps, Binärprogramme oder Framework-Änderungen können potenziell schädlich sein und zu böswilligem Verhalten führen, selbst wenn sie nicht zu diesem Zweck erstellt wurden. Der Grund dafür ist, dass verschiedene Faktoren die Funktionsweise von Apps, Binärprogrammen und Framework-Änderungen beeinflussen können. Malware, die für ein Android-Gerät schädlich ist, muss deshalb nicht unbedingt für alle anderen Android-Geräte eine Gefahr darstellen. Schädliche Apps, die für ihr böswilliges Verhalten veraltete APIs verwenden, sind beispielsweise keine Bedrohung für Geräte, auf denen die neueste Version von Android installiert ist, können jedoch ein Risiko für Geräte mit alten Android-Versionen darstellen. Apps, Binärprogramme und Framework-Änderungen werden als Malware oder PSA eingestuft, wenn sie eine klare Gefahr für manche oder alle Android-Geräte und -Nutzer darstellen.
In den folgenden Malwarekategorien spiegelt sich unsere grundlegende Überzeugung wider, dass Nutzer verstehen sollten, wie ihr Gerät verwendet wird. Ziel ist es, eine sichere Umgebung zu fördern, die fortlaufende Innovation ermöglicht und Vertrauen bei Nutzern schafft.
Malware-Kategorien
Backdoors
Code, der die Ausführung von unerwünschten, potenziell schädlichen oder ferngesteuerten Vorgängen auf dem Gerät ermöglicht.
Dazu kann auch Verhalten zählen, dessen automatische Ausführung dazu führt, dass die App, das Binärprogramm oder die Framework-Änderung in eine der anderen Malwarekategorien fällt. Allgemein beschreibt der Begriff „Backdoor“ eine Möglichkeit, einen potenziell schädlichen Vorgang auf einem Gerät auszuführen, weshalb sich diese Kategorie nicht direkt mit anderen Kategorien wie dem Abrechnungsbetrug oder kommerzieller Spyware vergleichen lässt. Deshalb werden manche Backdoors unter Umständen von Google Play Protect als Sicherheitslücke eingestuft.
Abrechnungsbetrug
Code, mit dessen Hilfe Nutzern durch absichtlich irreführende Praktiken automatisch Kosten in Rechnung gestellt werden.
Betrug bei der Abrechnung über den Mobilfunkanbieter lässt sich in die Kategorien SMS-, Anruf- und Gebührenbetrug unterteilen.
SMS-Betrug
Code, durch den Nutzern ohne ihre Zustimmung das Senden von Premium-SMS in Rechnung gestellt oder versucht wird, SMS-Aktivitäten zu verschleiern. Das ist dann der Fall, wenn Offenlegungsvereinbarungen oder SMS des Mobilfunkanbieters verborgen werden, in denen der Nutzer über Gebühren informiert oder der Abschluss eines Abos bestätigt wird.
Für manchen Code wird zwar klar angegeben, wie er sich in Bezug auf das Senden von SMS verhält; das heißt aber noch nicht, dass SMS-Betrug dadurch generell ausgeschlossen werden kann. Beispiele sind das Verbergen oder Unlesbarmachen einzelner Abschnitte einer Offenlegungsvereinbarung oder das Unterdrücken von bestimmten SMS des Mobilfunkanbieters, in denen der Nutzer über Gebühren informiert oder der Abschluss eines Abonnements bestätigt wird.
Anrufbetrug
Code, durch den Nutzern Gebühren für Sonderrufnummern in Rechnung gestellt werden, obwohl sie keine Anrufe autorisiert haben.
Gebührenbetrug
Code, durch den Nutzer auf betrügerische Weise dazu verleitet werden, Inhalte zu abonnieren oder zu kaufen und sie über die Rechnung des Mobilfunkanbieters zu bezahlen.
Gebührenbetrug umfasst alle betrügerischen Abrechnungen mit Ausnahme von Premium-SMS und -Anrufen. Beispiele hierfür sind direkte Abrechnungen über den Mobilfunkanbieter, WAP-Betrug (Betrug über WLAN-Zugangspunkte) und Übertragungen, die über mobile Daten abgerechnet werden. WAP-Betrug zählt zu den häufigsten Arten des Gebührenbetrugs. Bei einem WAP-Betrug können Nutzer beispielsweise dazu verleitet werden, auf einem unbemerkt geladenen, transparenten WebView auf eine Schaltfläche zu klicken. Der Nutzer schließt dadurch ein Abo ab und die Bestätigungs-SMS oder ‑E‑Mail wird in vielen Fällen gehackt, damit Nutzer die Finanztransaktion gar nicht erst bemerken.
Stalkerware
Code, der personenbezogene oder vertrauliche Nutzerdaten eines Geräts erhebt und die Daten zu Überwachungszwecken an einen Dritten (Unternehmen oder eine andere Person) weiterleitet.
Apps müssen eine angemessene deutliche Offenlegung enthalten und entsprechend der Richtlinie zu Nutzerdaten die Einwilligung der Nutzer einholen.
Nur Apps, die ausschließlich für die Überwachung einer anderen Person entworfen und vermarktet werden, beispielsweise für die Überwachung von Kindern durch Eltern oder Mitarbeitern durch Unternehmensführungen, sind als Überwachungs-Apps zulässig, sofern sie die unten beschriebenen Anforderungen vollständig erfüllen. Diese Apps dürfen jedoch nicht verwendet werden, um andere Personen (z. B. einen Partner) zu überwachen, auch nicht, wenn diese davon wissen und ihre Einwilligung gegeben haben, und unabhängig davon, ob ein dauerhaft sichtbarer Hinweis angezeigt wird. In diesen Apps muss das Metadatenflag „IsMonitoringTool“ in der Manifestdatei verwendet werden, um sie als Überwachungs-Apps zu kennzeichnen.
Überwachungs-Apps müssen diesen Anforderungen entsprechen:
- Sie dürfen nicht als Lösungen zur Spionage oder geheimen Überwachung angeboten werden.
- Apps dürfen eine solche Nachverfolgung nicht verheimlichen oder verschleiern oder Nutzer im Hinblick auf solche Funktionen täuschen.
- In den Apps muss dem Nutzer ein dauerhaft sichtbarer Hinweis eingeblendet werden, wenn sie ausgeführt werden, sowie ein Symbol zur eindeutigen Identifikation der App.
- In der Google Play Store-Beschreibung der App müssen Überwachungs- und Tracking-Funktionen offengelegt werden.
- Apps und ihre Einträge bei Google Play dürfen es Nutzern nicht ermöglichen, Funktionen zu aktivieren, die gegen diese Richtlinien verstoßen, oder auf solche Funktionen zuzugreifen, etwa durch einen Link zu einem nicht konformen APK außerhalb von Google Play.
- Apps müssen allen anwendbaren Gesetzen entsprechen. Für die Rechtmäßigkeit Ihrer App im jeweiligen Zielland sind allein Sie verantwortlich.
Weitere Informationen finden Sie im Hilfeartikel isMonitoringTool.
Denial of Service (DoS)
Code, der dazu dient, ohne das Wissen des Nutzers einen DoS-Angriff (Denial of Service) durchzuführen, oder Code, der Teil eines dezentralen DoS-Angriffs auf andere Systeme oder Ressourcen ist.
Dies geschieht beispielsweise durch das Senden einer großen Anzahl von HTTP-Anfragen, um Remote-Server zu überlasten.
Schädliche Downloader
Code, der an sich zwar nicht schädlich ist, durch den aber weitere PSAs heruntergeladen werden.
In folgenden Fällen kann es sich um einen schädlichen Downloader handeln:
- Es besteht Grund zur Annahme, dass der Code zur Verbreitung von PSAs erstellt wurde und PSAs heruntergeladen hat bzw. dazu in der Lage ist, Apps herunterzuladen und zu installieren.
- Mindestens 5% der von ihm heruntergeladenen Apps sind PSAs – der untere Grenzwert liegt hierfür bei 500 beobachteten App-Downloads (25 beobachtete PSA-Downloads).
Gängige Browser und Dateifreigabe-Apps sind keine schädlichen Downloader, solange Folgendes der Fall ist:
- Es werden keine Inhalte ohne Nutzerinteraktion heruntergeladen.
- Alle PSA-Downloads erfolgen mit der Zustimmung des Nutzers.
Bedrohung, die keine Gefahr für Android darstellt
Code, der Bedrohungen enthält, die keine Gefahr für Android darstellen.
Diese Apps stellen zwar kein Risiko für Android-Nutzer oder -Geräte dar, können aber für andere Plattformen schädlich sein.
Phishing
Code, der vorgibt, aus einer vertrauenswürdigen Quelle zu stammen, und Anmeldedaten für die Authentifizierung oder Zahlungsinformationen des Nutzers anfordert und die Daten an Dritte sendet. Auch Code, der Nutzerdaten abfängt, während diese übertragen werden, zählt zu dieser Kategorie.
Häufig sind Bankdaten, Kreditkartennummern und Anmeldedaten für soziale Netzwerke oder Spiele das Ziel von Phishing.
Missbrauch von erhöhten Berechtigungen
Code, der die Integrität des Systems gefährdet, indem er die App-Sandbox beeinträchtigt, Berechtigungen ausweitet oder den Zugriff auf sicherheitsrelevante Hauptfunktionen ändert oder deaktiviert.
Hier einige Beispiele:
- Apps, die gegen das Berechtigungsmodell von Android verstoßen oder Anmeldedaten wie beispielsweise OAuth-Tokens von anderen Apps stehlen.
- Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können.
- Apps, die SELinux deaktivieren.
Apps zur Rechteausweitung, die Geräte ohne Zustimmung des Nutzers rooten, werden als Rooting-Apps eingestuft.
Ransomware (Erpressungstrojaner)
Code, der die teilweise oder komplette Kontrolle über ein Gerät oder Daten auf einem Gerät übernimmt und vom Nutzer eine Zahlung oder die Durchführung einer Aktion verlangt, um diese wieder freizugeben.
Manche Ransomware (Erpressungstrojaner) verschlüsselt die Daten auf dem Gerät und verlangt für die Entschlüsselung eine Zahlung. In einigen Fällen werden auch die Admin-Funktionen des Geräts verwendet, um zu verhindern, dass der Nutzer die Ransomware deinstallieren kann. Hier einige Beispiele:
- Die Ransomware sperrt den Nutzer aus und verlangt im Austausch für die Kontrolle über das Gerät eine Zahlung.
- Die Daten auf dem Gerät werden verschlüsselt und die Ransomware behauptet, sie würde die Daten gegen eine Zahlung entschlüsseln.
- Die Ransomware nutzt Funktionen des Richtlinienmanagers, um die Deinstallation durch den Nutzer zu verhindern.
Code, der mit dem Gerät ausgeliefert wird und in erster Linie zur Unterstützung der Geräteverwaltung dient, wird möglicherweise nicht als Ransomware eingestuft. Dazu muss er die Anforderungen an die sichere Sperrung und Verwaltung sowie die Anforderungen zur deutlichen Offenlegung und zur Einholung der Nutzereinwilligung erfüllen.
Rooting
Code, der das Gerät rootet.
Rooting-Code ist nicht immer schädlich. Rooting-Apps informieren Nutzer beispielsweise vorab über den Root-Vorgang und führen keine potenziell schädlichen Aktionen aus, die unter andere PSA-Kategorien fallen.
Schädliche Rooting-Apps rooten das Gerät ohne das Wissen des Nutzers oder informieren Nutzer zwar vorab über den Root-Vorgang, führen jedoch Aktionen aus, die zu anderen PSA-Kategorien zählen.
Spam
Code, der unerwünschte Nachrichten an die Kontakte des Nutzers sendet oder das Gerät zum Versenden von E‑Mail-Spam verwendet.
Spyware
Bei Spyware handelt es sich um schädliche Anwendungen, schädlichen Code oder schädliche Verhaltensweisen, bei denen Nutzer- oder Gerätedaten erhoben, exfiltriert oder weitergegeben werden, obwohl sie nicht mit richtlinienkonformen Funktionen in Verbindung stehen.
Schädlicher Code oder schädliche Verhaltensweisen, die als Ausspähen des Nutzers betrachtet werden können oder bei denen Daten exfiltriert werden, ohne den Nutzer ausreichend zu informieren bzw. seine Einwilligung einzuholen, werden ebenfalls als Spyware eingestuft.
Zu den Spyware-Verstößen zählen unter anderem:
- Das Aufzeichnen von Audio oder eingehenden Anrufen
- Das Stehlen von App-Daten
- Apps mit schädlichem Code von Drittanbietern (zum Beispiel SDKs), die Daten auf eine für den Nutzer unerwartete Weise vom Gerät aus versenden und/oder den Nutzer nicht ausreichend darüber informieren bzw. seine Einwilligung einholen
Trojan
Code, der scheinbar ungefährlich ist – beispielsweise ein Spiel, das vorgibt, nur ein Spiel zu sein –, jedoch unerwünschte Aktionen durchführt.
Diese Klassifizierung wird oft in Kombination mit anderen PSA-Kategorien verwendet. Ein Trojaner hat beispielsweise eine harmlose und eine versteckte schädliche Komponente. Beispiel: Ein Spiel, das ohne das Wissen des Nutzers im Hintergrund Premium-SMS versendet.
Hinweis zu ungewöhnlichen Apps
Apps, die neuartig oder in ihrer Art eher selten sind, können als ungewöhnlich klassifiziert werden, wenn Google Play Protect keine ausreichenden Informationen hat, um sie als sicher einzustufen. Das bedeutet nicht, dass die App gefährlich ist, nur kann sie ohne weitere Überprüfung nicht als sicher eingestuft werden.
Riskware
Eine Anwendung, die verschiedene Täuschverfahren einsetzt, um dem Nutzer abweichende oder gefälschte Anwendungsfunktionen bereitzustellen. Solche Apps tarnen sich als legitime Anwendungen oder Spiele, um in App-Shops und für Nutzer harmlos zu wirken. Sie verwenden Techniken wie Verschleierung, dynamisches Laden von Code oder Cloaking, um potenziell schädliche Inhalte zu verbergen.
Riskware ähnelt anderen Kategorien von potenziell schädlichen Apps und insbesondere Trojanern. Der wesentliche Unterschied besteht in den Verfahren, die zur Verschleierung der Schadaktivitäten eingesetzt werden.
Unerwünschte Software auf Mobilgeräten
Google definiert unerwünschte Software als Apps, die nicht unbedingt Malware sind, aber schädlich für das Software-Ökosystem sind. Unerwünschte Software für Mobilgeräte, die sich als andere Apps ausgibt oder mindestens eine der folgenden Informationen ohne Zustimmung des Nutzers erhebt:
- Telefonnummer des Geräts
- primäre E-Mail-Adresse
- Informationen zu installierten Apps
- Informationen zu Drittanbieterkonten
MUwS wird separat von Malware erfasst. Hier finden Sie die MUwS-Kategorien.
Google Play Protect-Warnungen
Wenn Google Play Protect einen Verstoß gegen die Malware-Richtlinie erkennt, wird dem Nutzer eine Warnung angezeigt. Hier finden Sie Warnmeldungen für die einzelnen Verstöße.