Unsere Richtlinie zu Malware ist einfach: kein böswilliges Verhalten (z. B. Malware) bei Android, im Google Play Store und auf Geräten von Nutzern. Mit diesem Grundsatz möchten wir eine sichere Android-Plattform für unsere Nutzer und ihre Android-Geräte bieten.
Malware ist jeglicher Code, der eine Gefahr für Nutzer, ihre Daten und ihre Geräte darstellt. Malware umfasst unter anderem potenziell schädliche Apps (PSAs), Binärprogramme und Framework-Änderungen, die aus Kategorien wie Trojanern, Phishing- und Spyware-Apps bestehen. Diese Kategorien werden von uns laufend aktualisiert und hinzugefügt.
Malware kann sich hinsichtlich ihrer Art und Funktion zwar unterscheiden, verfolgt aber in der Regel eines der folgenden Ziele:
- Die Integrität des Geräts kompromittieren
- Die Kontrolle über das Gerät eines Nutzers übernehmen.
- Ferngesteuerte Vorgänge ermöglichen, mit denen Angreifer auf ein infiziertes Gerät zugreifen, es verwenden oder auf andere Weise ausnutzen können.
- Personenbezogene Daten oder Anmeldedaten ohne ausreichende Offenlegung und Einwilligung vom Gerät übertragen.
- Spam oder Befehle über das infizierte Gerät verbreiten, um andere Geräte oder Netzwerke zu beeinträchtigen
- Den Nutzer betrügen
Eine App, ein Binärprogramm oder eine Framework-Änderung kann potenziell schädlich sein und zu böswilligem Verhalten führen, auch wenn dies nicht beabsichtigt war. Das liegt daran, dass Anwendungen, Binärdateien oder Framework-Änderungen in Abhängigkeit von einer Vielzahl von Variablen unterschiedlich funktionieren können. Daher stellt das, was für ein Android-Gerät schädlich ist, möglicherweise auch kein Risiko für ein anderes Android-Gerät dar. Beispielsweise ist ein Gerät mit der neuesten Android-Version nicht von schädlichen Apps betroffen, die eingestellte APIs für schädliches Verhalten verwenden. Ein Gerät, auf dem noch eine sehr frühe Version von Android ausgeführt wird, kann jedoch gefährdet sein. Apps, Binärprogramme oder Framework-Änderungen werden als Malware oder PSA gekennzeichnet, wenn sie für einige oder alle Android-Geräte und -Nutzer eindeutig ein Risiko darstellen.
Die unten aufgeführten Malware-Kategorien spiegeln unsere grundlegende Überzeugung wider, dass Nutzer verstehen sollten, wie ihr Gerät verwendet wird, und eine sichere Umgebung fördern sollten, die robuste Innovationen und eine vertrauenswürdige Nutzererfahrung ermöglicht.
Malware-Kategorien
Backdoor
Code, der die Ausführung unerwünschter, potenziell schädlicher, ferngesteuerter Vorgänge auf einem Gerät ermöglicht.
Zu diesen Vorgängen kann auch Verhalten gehören, bei dem die App, das Binärprogramm oder die Framework-Änderung bei automatischer Ausführung in eine der anderen Malwarekategorien fallen. Im Allgemeinen beschreibt eine Backdoor, wie ein potenziell schädlicher Vorgang auf einem Gerät auftreten kann. Sie deckt sich daher nicht vollständig mit Kategorien wie Abrechnungsbetrug oder kommerzieller Spyware. Daher wird ein Teil der Backdoors unter bestimmten Umständen von Google Play Protect als Sicherheitslücke eingestuft.
Abrechnungsbetrug
Code, durch den dem Nutzer auf bewusst irreführende Weise automatisch Kosten in Rechnung gestellt werden
Betrug bei der Abrechnung über den Mobilfunkanbieter lässt sich in die Kategorien SMS-, Anruf- und Gebührenbetrug unterteilen.
SMS-Betrug
Code, mit dem Nutzern das Senden von Premium-SMS ohne Einwilligung in Rechnung gestellt oder versucht wird, ihre SMS-Aktivitäten zu verschleiern, indem Offenlegungsvereinbarungen oder SMS des Mobilfunkanbieters verborgen werden, in denen der Nutzer über Gebühren informiert oder Abos bestätigt wird.
Für manche Codes wird zwar technisch angegeben, das Verhalten beim Senden von SMS offengelegt, aber mit zusätzlichen Funktionen, die SMS-Betrug verhindern. Beispiele dafür sind das Verbergen oder Unlesbarmachen von Teilen einer Offenlegungsvereinbarung vor dem Nutzer oder das Unterdrücken von bestimmten SMS des Mobilfunkanbieters, in denen der Nutzer über Gebühren informiert oder ein Abo bestätigt wird.
Anrufbetrug
Code, durch den Nutzern Gebühren für Sonderrufnummern in Rechnung gestellt werden, ohne dass eine Nutzereinwilligung eingeholt wurde.
Gebührenbetrug
Code, der Nutzer dazu verleitet, Inhalte über die Rechnung des Mobilfunkanbieters zu abonnieren oder zu kaufen.
Gebührenbetrug umfasst jede Art der Abrechnung außer Premium-SMS und -Anrufen. Beispiele hierfür sind die direkte Abrechnung über den Mobilfunkanbieter, Wireless Access Point (WAP) und Mobile Airtime Transfer. WAP-Betrug zählt zu den häufigsten Arten von Gebührenbetrug. Bei einem WAP-Betrug werden Nutzer unter anderem dazu verleitet, auf einem unbemerkt geladenen, transparenten WebView auf eine Schaltfläche zu klicken. Dabei wird ein wiederkehrendes Abo initiiert und die Bestätigungs-SMS oder -E-Mail wird häufig gehackt, damit Nutzer die Finanztransaktion nicht bemerken.
Stalkerware
Code, der personenbezogene oder vertrauliche Nutzerdaten von einem Gerät erfasst und zu Überwachungszwecken an einen Dritten (Unternehmen oder eine andere Person) überträgt.
Apps müssen eine angemessene deutliche Offenlegung enthalten und es muss gemäß der Richtlinie zu Nutzerdaten die Einwilligung der Nutzer eingeholt werden.
Nur Apps, die ausschließlich für die Überwachung einer anderen Person entwickelt und vermarktet werden, z. B. Eltern für die Überwachung ihrer Kinder oder die Unternehmensführung, sind die einzigen zulässigen Überwachungs-Apps, sofern sie die weiter unten in diesem Dokument beschriebenen Anforderungen vollständig erfüllen. Diese Apps dürfen jedoch nicht verwendet werden, um andere Personen (z. B. einen Partner) zu überwachen, auch nicht, wenn diese ihr Wissen und ihre Erlaubnis haben. Dabei spielt es keine Rolle, ob ein dauerhaft sichtbarer Hinweis angezeigt wird. Diese Apps müssen das IsMonitoringTool-Metadaten-Flag in ihrer Manifestdatei verwenden, um sie korrekt als Überwachungs-Apps zu kennzeichnen.
Überwachungs-Apps müssen folgende Anforderungen erfüllen:
- Sie dürfen nicht als Lösungen zur Spionage oder geheimen Überwachung angeboten werden.
- Apps dürfen eine solche Nachverfolgung nicht verheimlichen oder verschleiern oder Nutzer im Hinblick auf solche Funktionen täuschen.
- In den Apps muss dem Nutzer ein dauerhaft sichtbarer Hinweis eingeblendet werden, wenn die App ausgeführt wird, sowie ein Symbol zur eindeutigen Identifikation der App.
- In der Google Play Store-Beschreibung der App müssen Überwachungs- oder Tracking-Funktionen offengelegt werden.
- Apps und App-Einträge bei Google Play dürfen keine Möglichkeit bieten, Funktionen zu aktivieren oder aufzurufen, die gegen diese Bedingungen verstoßen. Dazu zählt beispielsweise die Verknüpfung mit einem nicht konformen APK, das außerhalb von Google Play gehostet wird.
- Apps müssen allen anwendbaren Gesetzen entsprechen. Für die Rechtmäßigkeit Ihrer App im jeweiligen Zielland sind allein Sie verantwortlich.
Weitere Informationen finden Sie im Hilfeartikel zum Flag isMonitoringTool.
Denial of Service (DoS)
Code, der ohne das Wissen des Nutzers einen DoS-Angriff (Denial of Service) ausführt oder Teil eines verteilten DoS-Angriffs auf andere Systeme und Ressourcen ist.
Dies kann beispielsweise der Fall sein, wenn eine große Anzahl von HTTP-Anfragen gesendet wird, um Remote-Server zu belasten.
Schädliche Downloader
Code, der an sich zwar nicht schädlich ist, durch den aber weitere PSAs heruntergeladen werden.
In folgenden Fällen kann es sich um einen schädlichen Downloader handeln:
- Es besteht Grund zur Annahme, dass es zur Verbreitung von PSAs erstellt wurde und PSAs heruntergeladen wurden oder Code zum Herunterladen und Installieren von Apps enthält.
- Mindestens 5% der von ihr heruntergeladenen Apps sind PSAs mit einem Mindestgrenzwert von 500 beobachteten App-Downloads (25 beobachtete PSA-Downloads).
Gängige Browser und Filesharing-Apps gelten nicht als schädliche Downloader, solange:
- Sie sorgen nicht für mehr Downloads ohne Nutzerinteraktion.
- Alle PSA-Downloads werden durch die Zustimmung des Nutzers initiiert.
Bedrohung außerhalb von Android
Code, der Bedrohungen enthält, die nicht Android betreffen.
Diese Apps können Android-Nutzern oder ‐Geräten zwar nicht Schaden zufügen, haben aber Komponenten, die für andere Plattformen potenziell schädlich sind.
Phishing
Code, der vorgibt, aus einer vertrauenswürdigen Quelle zu stammen, die Anmeldedaten oder Zahlungsinformationen eines Nutzers anfordert und die Daten an Dritte sendet. Diese Kategorie gilt auch für Code, der die Übertragung von Nutzeranmeldedaten bei der Übertragung abfängt.
Häufige Ziele von Phishing sind Bankdaten, Kreditkartennummern und Anmeldedaten für Onlinekonten in sozialen Netzwerken und Spielen.
Missbrauch von erhöhten Berechtigungen
Code, der die Integrität des Systems gefährdet, indem er die Anwendungs-Sandbox beeinträchtigt, Berechtigungen ausweitet oder den Zugriff auf sicherheitsbezogene Kernfunktionen ändert oder deaktiviert.
Beispiele:
- Eine App, die gegen das Berechtigungsmodell von Android verstößt oder Anmeldedaten (z. B. OAuth-Tokens) von anderen Apps stiehlt.
- Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können.
- Eine App, die SELinux deaktiviert.
Apps zur Rechteausweitung, die das Gerät ohne Berechtigung des Nutzers rooten, werden als Rooting-Apps eingestuft.
Ransomware (Erpressungstrojaner)
Code, der die teilweise oder umfassende Kontrolle über ein Gerät oder Daten auf einem Gerät übernimmt und den Nutzer auffordert, eine Zahlung zu leisten oder eine Aktion auszuführen, um die Kontrolle freizugeben.
Bei einigen Ransomware-Angriffen werden Daten auf dem Gerät verschlüsselt und für die Entschlüsselung wird eine Zahlung verlangt. Dabei werden auch die Funktionen zur Geräteverwaltung genutzt, sodass die Daten nicht von einem typischen Nutzer entfernt werden können. Beispiele:
- Sie sperren das Gerät eines Nutzers aus und verlangen Geld, um die Kontrolle über die Nutzer wiederherzustellen.
- Daten auf dem Gerät verschlüsseln und Zahlung verlangen, angeblich zum Entschlüsseln der Daten
- Sie nutzen die Funktionen des Richtlinienmanagers und blockieren die Entfernung durch den Nutzer.
Code, der mit dem Gerät bereitgestellt wird und hauptsächlich für eine subventionierte Geräteverwaltung dient, kann von der Ransomware-Kategorie ausgeschlossen werden, sofern die Anforderungen für eine sichere Sperre und Verwaltung sowie eine angemessene Offenlegung und Einwilligung der Nutzer erfüllt werden.
Rooting
Code, der das Gerät gerootet.
Es gibt einen Unterschied zwischen nicht schädlichem und schädlichem Rooting-Code. Beispielsweise wird der Nutzer durch das Rooten von Apps im Voraus darüber informiert, dass das Gerät gerootet wird und dass keine anderen potenziell schädlichen Aktionen ausgeführt werden, die für andere PSA-Kategorien gelten.
Schädliche Rooting-Apps informieren den Nutzer nicht darüber, dass das Gerät gerootet wird, oder informieren den Nutzer im Voraus über das Rooting, führen aber auch andere Aktionen aus, die für andere PSA-Kategorien gelten.
Spam
Code, der unerwünschte Nachrichten an die Kontakte des Nutzers sendet oder das Gerät als E-Mail-Spam-Relay verwendet.
Spyware
Spyware ist eine schädliche Anwendung, ein schädlicher Code oder ein schädliches Verhalten, die Nutzer- oder Gerätedaten sammeln, exfiltrieren oder weitergeben, die nicht mit richtlinienkonformen Funktionen zusammenhängen.
Als Spyware gelten schädlicher Code oder schädliche Verhaltensweisen, die als Ausspionieren des Nutzers betrachtet oder Daten ohne ausreichende Ankündigung oder Einwilligung exfiltriert werden.
Zu einem Verstoß gegen die Richtlinie zu Spyware gehören unter anderem:
- Aufzeichnen von Audio oder von Anrufen auf dem Smartphone
- Diebstahl von App-Daten
- Apps mit schädlichem Drittanbietercode (z. B. SDKs), die Daten auf unerwartete Weise und/oder ohne ausreichende Mitteilung oder Einwilligung des Nutzers außerhalb des Geräts übertragen.
Trojaner
Code, der unbedenklich zu sein scheint, beispielsweise ein Spiel, das vorgibt, nur ein Spiel zu sein, aber unerwünschte Aktionen gegen den Nutzer ausführt.
Diese Klassifizierung wird normalerweise in Kombination mit anderen PSA-Kategorien verwendet. Ein Trojaner hat eine harmlose und eine versteckte schädliche Komponente. Beispiel: Ein Spiel, das ohne das Wissen des Nutzers im Hintergrund Premium-SMS vom Gerät des Nutzers sendet.
Hinweise zu ungewöhnlichen Apps
Neue und seltene Apps können als ungewöhnlich eingestuft werden, wenn Google Play Protect nicht genügend Informationen hat, um sie als sicher einzustufen. Das bedeutet nicht, dass die App zwangsläufig schädlich ist. Ohne weitere Überprüfung kann sie aber nicht als sicher eingestuft werden.
Masken
Eine Anwendung, die verschiedene Umgehungsmethoden verwendet, um dem Nutzer verschiedene oder gefälschte Anwendungsfunktionen bereitzustellen. Diese Apps maskieren sich als legitime Anwendungen oder Spiele, sodass sie für App-Shops harmlos erscheinen. Sie verwenden Techniken wie Verschleierung, dynamisches Laden von Code oder Cloaking, um schädliche Inhalte zu enthüllen.
Maskware ähnelt anderen PSA-Kategorien, insbesondere Trojanern, mit dem Hauptunterschied, dass die Techniken zur Verschleierung der schädlichen Aktivitäten verwendet werden.
Unerwünschte Software für Mobilgeräte
Google definiert unerwünschte Software als Apps, die zwar nicht strikt als Malware, aber schädlich für die Softwareumgebung sind. Unerwünschte Software für Mobilgeräte (Mobile Unerwünschte Software) gibt sich als andere Apps aus oder erfasst mindestens eine der folgenden Daten ohne Nutzereinwilligung:
- Telefonnummer des Geräts
- primäre E-Mail-Adresse
- Informationen zu installierten Apps
- Informationen zu Drittanbieterkonten
Malware wird getrennt von Malware erfasst. Hier finden Sie die Kategorien für diese Richtlinien.
Google Play Protect-Warnungen
Wenn Google Play Protect einen Verstoß gegen die Malware-Richtlinie erkennt, wird dem Nutzer eine Warnung angezeigt. Die Warnstrings für jeden Verstoß finden Sie hier.