Malwarekategorien

Unsere Richtlinie zu Malware ist einfach: kein böswilliges Verhalten, z. B. Malware, bei Android, im Google Play Store und auf Geräten von Nutzern. Mit diesem Grundsatz möchten wir Android zu einer sicheren Plattform für unsere Nutzer und ihre Android-Geräte machen.

Malware ist jeglicher Code, der eine Gefahr für Nutzer, ihre Daten und ihre Geräte darstellt. Malware umfasst unter anderem potenziell schädliche Apps (PSAs), Binärprogramme und Framework-Änderungen, die aus Kategorien wie Trojanern, Phishing- und Spyware-Apps bestehen. Diese Kategorien werden von uns laufend aktualisiert und hinzugefügt.

Malware kann sich hinsichtlich ihrer Art und Funktion zwar unterscheiden, verfolgt aber in der Regel eines der folgenden Ziele:

  • Die Integrität des Geräts kompromittieren
  • Sie haben die Kontrolle über das Gerät eines Nutzers.
  • Ferngesteuerte Vorgänge ermöglichen, mit denen Angreifer auf ein infiziertes Gerät zugreifen, es verwenden oder auf andere Weise missbrauchen können.
  • Personenbezogene Daten oder Anmeldedaten ohne ausreichende Offenlegung und Einwilligung vom Gerät übertragen.
  • Spam oder Befehle über das infizierte Gerät verbreiten, um andere Geräte oder Netzwerke zu beeinträchtigen
  • Den Nutzer betrügen

Eine App, ein Binärprogramm oder eine Framework-Änderung kann potenziell schädlich sein und zu böswilligem Verhalten führen, auch wenn dies nicht beabsichtigt war. Das liegt daran, dass Anwendungen, Binärprogramme oder Framework-Änderungen in Abhängigkeit von verschiedenen Variablen unterschiedlich funktionieren können. Für ein Android-Gerät schädliche Daten stellt daher möglicherweise kein Risiko für ein anderes Android-Gerät dar. Ein Gerät mit der neuesten Android-Version ist beispielsweise nicht von schädlichen Apps betroffen, die verworfene APIs verwenden, um schädliches Verhalten auszuführen. Ein Gerät, auf dem noch eine sehr frühe Android-Version ausgeführt wird, ist jedoch möglicherweise gefährdet. Apps, Binärprogramme oder Framework-Änderungen werden als Malware oder PSA gekennzeichnet, wenn sie für einige oder alle Android-Geräte und -Nutzer eindeutig ein Risiko darstellen.

Die unten aufgeführten Malware-Kategorien spiegeln unsere grundlegende Überzeugung wider, dass Nutzer verstehen sollten, wie ihr Gerät verwendet wird, und ein sicheres System fördern sollten, das robuste Innovationen und eine vertrauenswürdige Nutzererfahrung ermöglicht.

Malware-Kategorien

Backdoor

Backdoor

Code, der die Ausführung unerwünschter, potenziell schädlicher, ferngesteuerter Vorgänge auf einem Gerät ermöglicht.

Diese Vorgänge können Verhalten umfassen, bei dem die App, das Binärprogramm oder die Framework-Änderung bei automatischer Ausführung in eine der anderen Malwarekategorien fällt. Im Allgemeinen beschreibt Backdoor, wie ein potenziell schädlicher Betrieb auf einem Gerät auftreten kann. Daher sind Kategorien wie Abrechnungsbetrug oder kommerzielle Spyware nicht vollständig abgedeckt. Daher werden einige Backdoors unter bestimmten Umständen von Google Play Protect als Sicherheitslücke eingestuft.

Abrechnungsbetrug

Abrechnungsbetrug

Code, mit dessen Hilfe Nutzern durch absichtlich irreführende Praktiken automatisch Kosten in Rechnung gestellt werden.

Betrug bei der Abrechnung über den Mobilfunkanbieter lässt sich in SMS-, Anruf- und Gebührenbetrug unterteilen.

SMS-Betrug

Code, mit dem Nutzern das Senden von Premium-SMS ohne Zustimmung in Rechnung gestellt wird oder bei dem versucht wird, ihre SMS-Aktivitäten zu verschleiern, indem Offenlegungsvereinbarungen oder SMS des Mobilfunkanbieters verborgen werden, in denen der Nutzer über Gebühren informiert oder Abos bestätigt werden.

Für manche Codes wird zwar das Sendeverhalten von SMS technisch angegeben, aber für einen Teil des Codes wird zusätzlicher Verhalten eingeführt, der SMS-Betrug berücksichtigt. Beispiele hierfür sind das Verstecken oder Unlesbarmachen von Teilen einer Offenlegungsvereinbarung oder das Unterdrücken von bestimmten SMS des Mobilfunkanbieters, in denen der Nutzer über Gebühren informiert oder ein Abo bestätigt wird.

Anrufbetrug

Code, durch den Nutzern Gebühren für Sonderrufnummern in Rechnung gestellt werden, ohne dass sie dem zustimmen.

Gebührenbetrug

Code, der Nutzer dazu verleitet, Inhalte über die Rechnung des Mobilfunkanbieters zu abonnieren oder zu kaufen.

Gebührenbetrug umfasst alle Arten von Abrechnungen mit Ausnahme von Premium-SMS und -Anrufen. Beispiele hierfür sind die direkte Abrechnung über den Mobilfunkanbieter, Wireless Application Protocol (WAP) und Mobile Airtime Transfer. WAP-Betrug zählt zu den gängigsten Arten des Gebührenbetrugs. Bei einem WAP-Betrug können Nutzer beispielsweise dazu verleitet werden, auf einem unbemerkt geladenen, transparenten WebView auf eine Schaltfläche zu klicken. Beim Ausführen der Aktion wird ein wiederkehrendes Abo initiiert und die Bestätigungs-SMS oder -E-Mail wird häufig gehackt, damit Nutzer die Finanztransaktion nicht bemerken.

Stalkerware

Stalkerware (kommerzielle Spyware)

Code, der personenbezogene oder vertrauliche Nutzerdaten von einem Gerät erfasst und/oder überträgt, ohne den Nutzer ausreichend darüber zu informieren oder seine Zustimmung einzuholen und ohne einen dauerhaft sichtbaren Hinweis zu diesem Vorgang anzuzeigen.

Stalkerware-Apps zielen auf Gerätenutzer ab, indem sie personenbezogene oder vertrauliche Nutzerdaten überwachen und diese Daten übertragen oder für Dritte zugänglich machen.

Nur Apps, die ausschließlich für Eltern entwickelt und vermarktet werden, um die Überwachung ihrer Kinder oder Unternehmensverwaltung zu verfolgen, sind die einzigen zulässigen Überwachungs-Apps, sofern sie die unten beschriebenen Anforderungen vollständig erfüllen. Diese Apps dürfen nicht verwendet werden, um andere Personen (z. B. einen Ehepartner) zu überwachen, auch nicht mit deren Wissen und Zustimmung. Dies gilt unabhängig davon, ob ein dauerhaft sichtbarer Hinweis angezeigt wird.

Denial of Service

Denial of Service (DoS)

Code, der ohne das Wissen des Nutzers einen DoS-Angriff (Denial of Service) ausführt oder Teil eines verteilten DoS-Angriffs auf andere Systeme und Ressourcen ist.

Dies kann beispielsweise der Fall sein, wenn eine große Anzahl von HTTP-Anfragen gesendet wird, um Remoteserver zu belasten.

Schädliche Downloader

Schädliche Downloader

Code, der an sich zwar nicht schädlich ist, durch den jedoch weitere PSAs heruntergeladen werden.

Der Code kann in folgenden Fällen ein schädlicher Downloader sein:

  • Es besteht Grund zur Annahme, dass es zur Verbreitung von PSAs erstellt wurde und PSAs heruntergeladen wurden oder Code zum Herunterladen und Installieren von Apps enthält.
  • Mindestens 5% der von ihm heruntergeladenen Apps sind PSAs mit einem Mindestgrenzwert von 500 beobachteten App-Downloads (25 beobachtete PSA-Downloads).

Gängige Browser und Filesharing-Apps gelten nicht als schädliche Downloader, solange:

  • Sie sorgen nicht für mehr Downloads ohne Nutzerinteraktion.
  • Alle PSA-Downloads erfolgen durch die Einwilligung des Nutzers.
Bedrohung außerhalb von Android

Bedrohung außerhalb von Android

Code, der Bedrohungen enthält, die nicht von Android stammen.

Diese Apps können dem Android-Nutzer oder -Gerät zwar keinen Schaden zufügen, enthalten jedoch Komponenten, die für andere Plattformen schädlich sein können.

Phishing

Phishing

Code, der vorgibt, aus einer vertrauenswürdigen Quelle zu stammen, und die Anmeldedaten oder Zahlungsinformationen eines Nutzers anfordert und die Daten an einen Dritten sendet. Diese Kategorie gilt auch für Code, der die Übertragung von Nutzeranmeldedaten während der Übertragung abfängt.

Häufige Ziele von Phishing sind Bankdaten, Kreditkartennummern und Anmeldedaten für Onlinekonten in sozialen Netzwerken und Spielen.

Rechteausweitung

Missbrauch von erhöhten Berechtigungen

Code, der die Integrität des Systems gefährdet, indem er die Anwendungs-Sandbox beeinträchtigt, Berechtigungen ausweitet oder den Zugriff auf sicherheitsrelevante Kernfunktionen ändert oder deaktiviert.

Beispiele:

  • Eine Anwendung, die gegen das Berechtigungsmodell von Android verstößt oder Anmeldedaten (z. B. OAuth-Tokens) von anderen Apps stiehlt.
  • Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können.
  • Eine App, die SELinux deaktiviert.

Apps zur Rechteausweitung, die ein Rooting von Geräten ohne Nutzerberechtigung durchführen, werden als Rooting-Apps klassifiziert.

Ransomware (Erpressungstrojaner)

Ransomware (Erpressungstrojaner)

Code, der die teilweise oder umfassende Kontrolle über ein Gerät oder Daten auf einem Gerät übernimmt und den Nutzer auffordert, eine Zahlung zu leisten oder eine Aktion auszuführen, um die Kontrolle freizugeben.

Einige Ransomware (Erpressungstrojaner) verschlüsselt Daten auf dem Gerät und fordert eine Zahlung für die Entschlüsselung an und/oder nutzt die Geräteverwaltungsfunktionen, damit sie nicht von einem typischen Nutzer entfernt werden können. Beispiele:

  • Sie sperren das Gerät eines Nutzers und fordern Geld für die Wiederherstellung der Kontrolle des Nutzers.
  • Die Daten auf dem Gerät werden verschlüsselt und eine Zahlung wird verlangt, um die Daten zu entschlüsseln.
  • Die Nutzung der Funktionen des Richtlinienmanagers des Geräts und Blockieren der Entfernung durch den Nutzer.

Code, der mit dem Gerät bereitgestellt wird und hauptsächlich für eine subventionierte Geräteverwaltung dient, kann aus der Ransomware-Kategorie ausgeschlossen werden, sofern die Anforderungen für das sichere Sperren und die Verwaltung sowie die Anforderungen zur Offenlegung und Einwilligung von Nutzern angemessen erfüllt werden.

Rooting

Rooting

Code, der das Gerät gerootet.

Es gibt einen Unterschied zwischen nicht schädlichem und schädlichem Rooting-Code. Durch das Rooting von Apps wird der Nutzer beispielsweise im Voraus darüber informiert, dass das Gerät gerootet wird, und dass keine anderen potenziell schädlichen Aktionen ausgeführt werden, die für andere PSA-Kategorien gelten.

Schädliche Rooting-Apps informieren den Nutzer nicht darüber, dass er das Gerät rooten wird, oder informieren den Nutzer im Voraus über das Rooting, führen aber auch andere Aktionen aus, die für andere PSA-Kategorien gelten.

Spam

Spam

Code, der unerwünschte Nachrichten an die Kontakte des Nutzers sendet oder das Gerät als E-Mail-Spam-Relay verwendet.


Rooting

Spyware

Code, der personenbezogene Daten ohne angemessene Ankündigung oder Einwilligung außerhalb des Geräts überträgt.

Die Übertragung einer der folgenden Informationen ohne Offenlegung oder auf eine für den Nutzer unerwartete Weise reicht beispielsweise aus, um als Spyware zu gelten:

  • Kontaktliste
  • Fotos oder andere Dateien von der SD-Karte, die nicht zur App gehören
  • Inhalt aus Nutzer-E-Mail
  • Anrufliste
  • SMS-Protokoll
  • Webprotokoll oder Browserlesezeichen des Standardbrowsers
  • Informationen aus den „/data/“-Verzeichnissen anderer Apps.

Verhaltensweisen, die als Ausspionieren des Nutzers angesehen werden können, können auch als Spyware gekennzeichnet werden. Dazu gehören beispielsweise das Aufzeichnen von Audio oder eingehenden Anrufen oder das Diebstahl von App-Daten.

Trojaner

Trojaner

Code, der scheinbar ungefährlich ist, z. B. ein Spiel, das vorgibt, nur ein Spiel zu sein, aber unerwünschte Aktionen gegen den Nutzer ausführt.

Diese Klassifizierung wird normalerweise in Kombination mit anderen PSA-Kategorien verwendet. Ein Trojaner hat eine harmlose und eine versteckte schädliche Komponente. Beispiel: Ein Spiel, das ohne das Wissen des Nutzers Premium-SMS im Hintergrund vom Gerät des Nutzers sendet.

Selten

Selten

Neue und seltene Apps können als ungewöhnlich eingestuft werden, wenn Google Play Protect nicht genügend Informationen hat, um sie als sicher einzustufen. Dies bedeutet nicht zwangsläufig, dass die App schädlich ist, aber ohne weitere Überprüfung kann sie auch nicht als sicher eingestuft werden.

Maskware

Masken

Eine Anwendung, die eine Vielzahl von Umgehungstechniken verwendet, um dem Nutzer verschiedene oder gefälschte Anwendungsfunktionen bereitzustellen. Diese Apps maskieren sich als legitime Anwendungen oder Spiele, die für App-Shops harmlos erscheinen, und nutzen Techniken wie Verschleierung, dynamisches Laden von Code oder Cloaking, um schädliche Inhalte preiszugeben.

Maskware ähnelt anderen PSA-Kategorien, insbesondere Trojaner, mit dem Hauptunterschied in den Techniken, mit denen schädliche Aktivitäten verschleiert werden.

Unerwünschte Software für Mobilgeräte

Google definiert unerwünschte Software als Apps, die zwar keine reine Malware sind, aber schädlich für die Softwareumgebung sind. Mobile Unerwünschte Software (Mobile Unerwünschte Software) täuscht eine andere App vor oder erfasst mindestens eine der folgenden Daten ohne Nutzereinwilligung:

  • Telefonnummer des Geräts
  • primäre E-Mail-Adresse
  • Informationen zu installierten Apps
  • Informationen zu Drittanbieterkonten

MUwS wird getrennt von Malware erfasst. Hier finden Sie die Kategorien für Content-Benachrichtigungen.

Google Play Protect-Warnungen

Wenn Google Play Protect einen Verstoß gegen die Malware-Richtlinie erkennt, wird dem Nutzer eine Warnung angezeigt. Die Warnungsstrings für die einzelnen Verstöße sind hier verfügbar.