Ta strona została przetłumaczona przez Cloud Translation API.

Kategorie złośliwego oprogramowania

Nasze zasady dotyczące złośliwego oprogramowania są proste: ekosystem Androida, łącznie ze Sklepem Google Play, oraz urządzenia użytkowników powinny być wolne od złośliwych działań (takich jak złośliwe oprogramowanie). Kierując się tymi podstawowymi zasadami, staramy się zapewnić użytkownikom i ich urządzeniom z Androidem bezpieczny ekosystem.

Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika albo jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy między innymi potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platform, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana i dodawana.

Złośliwe oprogramowanie ma różne formy i możliwości, jednak zwykle jest tworzone w jednym z tych celów:

naruszenie integralności urządzenia użytkownika;
Uzyskaj kontrolę nad urządzeniem użytkownika.
Włącz zdalnie sterowane operacje na potrzeby uzyskiwania dostępu do zainfekowanego urządzenia, używania go lub używania w inny sposób.
Przesyłaj z urządzenia dane osobowe lub dane logowania bez ich odpowiedniego ujawniania i uzyskania zgody.
rozsyłanie spamu lub poleceń z zainfekowanych urządzeń na inne urządzenia lub sieci.
Oszukiwanie użytkownika.

Aplikacje, pliki binarne lub modyfikacje platformy mogą być szkodliwe, tzn. mogą wykazywać złośliwe zachowania, nawet jeśli nie taka była intencja ich twórców. Dzieje się tak, ponieważ aplikacje, pliki binarne i modyfikacje platformy mogą działać inaczej w zależności od różnych zmiennych. To, co nie będzie szkodliwe w przypadku jednego urządzenia z Androidem, może w ogóle nie stanowić zagrożenia. Na przykład na urządzeniu z najnowszą wersją Androida nie działają szkodliwe aplikacje używające wycofanych interfejsów API do szkodliwego działania, ale na urządzeniu, na którym wciąż działa bardzo wczesna wersja Androida, może być zagrożone. Aplikacje, pliki binarne i modyfikacje platformy są oznaczane jako złośliwe oprogramowanie lub potencjalnie szkodliwe aplikacje, jeśli stwarzają ryzyko dla niektórych lub wszystkich urządzeń z Androidem bądź użytkowników.

Wymienione poniżej kategorie złośliwego oprogramowania odzwierciedlają nasze podstawowe przekonanie, że użytkownicy powinni rozumieć, w jaki sposób ich urządzenia są wykorzystywane, oraz promować bezpieczny ekosystem, który umożliwia wprowadzanie innowacyjnych rozwiązań i zwiększa zaufanie użytkowników.

Kategorie złośliwego oprogramowania

Za drzwiami

Kod, który umożliwia przeprowadzenie na urządzeniu niechcianych, potencjalnie szkodliwych, kontrolowanych zdalnie operacji.

Działania te mogą polegać na automatycznym zastosowaniu aplikacji, plików binarnych lub modyfikacji ramek do jednej z innych kategorii złośliwego oprogramowania. Ogólnie rzecz biorąc, określenie „tajny dostęp” odnosi się do tego, w jaki sposób na urządzeniu może dojść do potencjalnie szkodliwych operacji, i nie jest w pełni dopasowana do takich kategorii jak oszustwa związane z płatnościami czy komercyjne programy szpiegowskie. W rezultacie Google Play Protect traktuje podzbiór luk w zabezpieczeniach – pod pewnymi warunkami.

Uwaga: klasyfikacja złośliwego oprogramowania typu „tajny dostęp” zależy od sposobu działania kodu. Niezbędnym warunkiem dowolnego kodu, który można sklasyfikować jako wyłudzający informacje, jest fakt, że w przypadku automatycznego uruchomienia kod umieszczałby go w jednej z innych kategorii złośliwego oprogramowania. Jeśli na przykład aplikacja umożliwia dynamiczne ładowanie kodu, a kod wczytywany dynamicznie wyodrębnia SMS-y, zostanie ona sklasyfikowana jako złośliwe oprogramowanie.

Jeśli jednak aplikacja umożliwia wykonanie dowolnego kodu, ale nie mamy podstaw, by sądzić, że jego wykonanie zostało dodane w celu podjęcia złośliwych działań, nie uznamy tej aplikacji za złośliwe oprogramowanie typu „tajny dostęp”, a jedynie stwierdzimy, że ma ona luki w zabezpieczeniach, i poprosimy dewelopera o wprowadzenie poprawki.

Oszustwo rozliczeniowe

Kod, który wprowadza użytkownika w błąd i powoduje automatyczne naliczanie opłat.

Oszustwa związane z płatnościami mobilnymi dzielą się na oszustwa dotyczące SMS-ów, połączeń i opłat.

Oszustwa z wykorzystaniem SMS-ów

Kod, który powoduje naliczanie dodatkowych opłat za wysyłanie SMS-ów bez pytania użytkownika o zgodę lub próbuje zamaskować aktywność związaną z obsługą wiadomości SMS przez ukrywanie umów albo powiadomień od operatora informujących użytkownika o pobieraniu opłat lub potwierdzających rozpoczęcie subskrypcji.

Niektóre kody, choć technicznie ujawniają sposób wysyłania SMS-ów, wprowadzają dodatkowe zachowania umożliwiające oszustwo. Może to być na przykład ukrycie części umowy dotyczącej ujawniania informacji użytkownikowi, sprawiające, że jest ona nieczytelna, a warunkowe blokowanie SMS-ów od operatora sieci komórkowej, informujący użytkownika o opłatach lub potwierdzenie subskrypcji.

Oszustwa związane z połączeniami

Jest to kod, który powoduje naliczanie dodatkowych opłat za połączenia telefoniczne bez uzyskania zgody użytkownika.

Oszustwo płatne

Kod, który wprowadza użytkownika w błąd i powoduje dokonywanie niezamierzonych zakupów (w tym subskrypcji) przy użyciu rozliczeń przez operatora.

Oszustwa płatne obejmują dowolny rodzaj płatności oprócz SMS-ów premium i połączeń premium. Przykładami mogą być płatności bezpośrednio u operatora, protokół aplikacji bezprzewodowej (WAP) oraz transfer danych mobilnych. Oszustwa związane z POP to jeden z najczęstszych rodzajów oszustw płatnych. Oszustwo polegające na korzystaniu z WAP może polegać na tym, że użytkownicy są zachęcani do kliknięcia przycisku w łatwo załadowanym, przejrzystym widoku WebView. Po wykonaniu działania inicjowana jest subskrypcja cykliczna, a potwierdzenia SMS-ów lub e-maile są często włamane, aby użytkownicy nie zauważyli transakcji finansowej.

stalkerware (firmowe programy szpiegowskie),

Kod, który zbiera lub przesyła z urządzenia prywatne lub wrażliwe dane użytkownika bez odpowiedniego powiadomienia lub zgody.

Aplikacje typu stalkerware namierzają użytkowników urządzeń, monitorując ich dane osobowe i poufne oraz przesyłając je do osób trzecich lub udostępniając je osobom trzecim.

Jedynymi dozwolonymi aplikacjami do kontroli są te, które są przeznaczone dla rodziców i są przeznaczone do śledzenia dzieci lub zarządzania firmą. Aplikacje takie nie mogą być używane do śledzenia nikogo innego (np. współmałżonka), nawet za zgodą i wiedzą tej osoby bez względu na to, czy jest wyświetlane trwałe powiadomienie.

Atak typu DoS

Kod, który bez wiedzy użytkownika wykonuje atak typu DoS lub jest częścią rozproszonego ataku typu DoS kierowanego na inne systemy i zasoby.

Może to na przykład polegać na masowym wysyłaniu żądań HTTP w celu wygenerowania nadmiernego obciążenia zdalnych serwerów.

Szkodliwe programy do pobierania

Kod, który sam w sobie nie jest szkodliwy, ale pobiera inne potencjalnie szkodliwe aplikacje.

Kod może być uznany za służący do pobierania szkodliwych elementów, jeśli:

Istnieje podejrzenie, że kod został utworzony do pobierania potencjalnie szkodliwych aplikacji, pobrał takie aplikacje lub zawiera kod, który może pobierać i instalować aplikacje.
Co najmniej 5% pobranych aplikacji to potencjalnie szkodliwe aplikacje. Minimalny próg wyliczeń to 500 zarejestrowanych pobrań aplikacji (25 zarejestrowanych pobrań potencjalnie szkodliwych aplikacji).

Duże przeglądarki i aplikacje do udostępniania plików nie są uznawane za szkodliwe programy do pobrania, jeśli są:

nie zachęcają użytkowników do pobrania aplikacji bez interakcji z nią;
Pobieranie wszystkich potencjalnie szkodliwych aplikacji jest inicjowane przez użytkowników.

Zagrożenie dla Androida

Kod zawierający zagrożenia, które nie dotyczą Androida.

Takie aplikacje nie są zagrożeniem dla użytkownika urządzenia z Androidem ani samego urządzenia z tym systemem, ale zawierają komponenty, które mogą być szkodliwe na innych platformach.

Wyłudzanie informacji (phishing)

Kod, który stwarza pozory, że pochodzi z zaufanego źródła, żądający danych uwierzytelniających lub rozliczeniowych użytkownika w celu wysłania ich do osoby trzeciej. Ta kategoria dotyczy również kodu, który przechwytuje dane logowania użytkownika podczas przesyłania.

Częstym celem ataków phishingowych są dane logowania do banku, numery kart kredytowych i dane logowania do kont w sieciach społecznościowych.

Nadużywanie podwyższonych uprawnień

Kod, który narusza integralność systemu przez uszkodzenie piaskownicy aplikacji, zdobycie podwyższonych uprawnień albo zmianę lub wyłączenie dostępu do podstawowych funkcji związanych z zabezpieczeniami.

Przykłady:

aplikacja, która narusza model uprawnień Androida lub kradnie dane uwierzytelniające (np. tokeny OAuth) z innych aplikacji;
Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
Aplikacja, która wyłącza SELinux.

Aplikacje do eskalacji uprawnień, które umożliwiają dostęp do roota urządzenia bez zgody użytkownika, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.

ransomware,

Kod, który częściowo lub w znacznym stopniu przejmuje kontrolę nad urządzeniem bądź danymi na urządzeniu i żąda od użytkownika płatności lub wykonania jakiejś czynności w zamian za zwrócenie kontroli.

Niektóre programy typu ransomware szyfrują dane na urządzeniu i żądają płatności w zamian za ich odszyfrowanie lub wykorzystują funkcje administracyjne urządzenia, by typowy użytkownik nie mógł ich usunąć. Przykłady:

Blokowanie użytkownika na urządzeniu i żądanie pieniędzy w zamian za zwrócenie kontroli.
Szyfrowanie danych na urządzeniu i żądanie zapłaty, po której prawdopodobnie następuje odszyfrowanie.
Wykorzystywanie funkcji menedżera zasad dotyczących urządzeń i blokowanie usuwania treści przez użytkownika.

Kod rozpowszechniany razem z urządzeniem, którego głównym celem jest finansowanie zarządzania urządzeniem, może być wykluczony z kategorii ransomware, jeśli spełni wymagania dotyczące bezpiecznego blokowania i zarządzania oraz spełniania wymagań dotyczących ujawniania informacji i uzyskiwania zgody użytkowników.

Dostęp do roota

Kod, który uzyskuje dostęp do roota na urządzeniu.

Istnieje nieznaczna różnica między nieszkodliwym a złośliwym kodem root. Na przykład aplikacje z dostępem do roota powiadamiają użytkownika o zamiarze uzyskania dostępu do roota i nie wykonują innych potencjalnie szkodliwych działań, które mają zastosowanie do innych potencjalnie szkodliwych aplikacji.

Złośliwe aplikacje z dostępem do roota nie informują użytkownika o zamiarze uzyskania dostępu do roota lub powiadamiają o tym użytkownika z wyprzedzeniem, ale wykonują też inne działania, które kwalifikują je jako potencjalnie szkodliwe aplikacje.

Spam

Kod, który wysyła niechciane wiadomości do kontaktów użytkownika lub wykorzystuje urządzenie jako przekaźnik spamu.

programy szpiegowskie,

Kod, który przesyła dane osobowe poza urządzenie bez wcześniejszego powiadomienia lub zgody.

Za działanie programu szpiegowskiego można uznać na przykład przekazywanie którychkolwiek z poniższych danych bez ujawniania tego użytkownikom lub w sposób, którego użytkownik się nie spodziewa:

Lista kontaktów
zdjęcia i inne pliki z karty SD lub nienależące do aplikacji;
Treść e-maila użytkownika
Rejestr połączeń
Dziennik SMS-ów
Historię online lub zakładki przeglądarki domyślnej
Informacje z katalogów /data/ innych aplikacji.

Działania, które mogą uchodzić za szpiegowanie użytkownika, mogą też być oznaczone jako programy szpiegowskie. Może to być na przykład nagrywanie dźwięku lub połączeń telefonicznych albo kradzież danych aplikacji.

Trojana

Kod, który stwarza wrażenie niegroźnego (np. gra rzekomo będąca zwykłą grą), ale w rzeczywistości wykonuje niepożądane działania skierowane przeciwko użytkownikowi.

Tej klasyfikacji używa się zwykle w połączeniu z innymi kategoriami potencjalnie szkodliwych aplikacji. Trojan ma apodyktyczny i ukryty komponent. Może to być na przykład gra, która bez wiedzy użytkownika wysyła w tle specjalne SMS-y z urządzenia.

Nietypowe

Nowe lub rzadkie aplikacje mogą zostać uznane za nietypowe, jeśli Google Play Protect nie ma dość informacji, by zagwarantować, że są bezpieczne. Nie oznacza to, że aplikacja musi być szkodliwa, ale bez dokładnej weryfikacji nie można też jej bezpiecznie usunąć.

Niechciane oprogramowanie mobilne

Google określa niechciane oprogramowanie jako aplikacje, które nie są ściśle szkodliwe, ale są szkodliwe dla ekosystemu oprogramowania. Niechciane oprogramowanie mobilne podszywa się pod inne aplikacje lub zbiera bez ich zgody co najmniej jedną z tych wartości:

Numer telefonu urządzenia
główny adres e-mail;
Informacje o zainstalowanych aplikacjach
Informacje o kontach innych firm

Narzędzie MUwS jest śledzone oddzielnie od złośliwego oprogramowania. Kategorie MUWS znajdziesz tutaj.

Ostrzeżenia Google Play Protect

Gdy Google Play Protect wykryje naruszenie zasad dotyczących złośliwego oprogramowania, wyświetli się ostrzeżenie. Ciągi ostrzegawcze dla poszczególnych naruszeń są dostępne tutaj.