קטגוריות של תוכנות זדוניות

המדיניות שלנו בנושא תוכנות זדוניות פשוטה, בסביבה העסקית של Android, כולל בחנות Google Play, ובמכשירי המשתמשים אין מקום להתנהגות זדונית (לדוגמה, תוכנות זדוניות). זהו עיקרון היסוד שלנו, שבעזרתו אנחנו שואפים לספק סביבה עסקית בטוחה ב-Android למשתמשים ולמכשירי Android שלהם.

תוכנה זדונית היא כל קוד שעלול לסכן את המשתמש, את הנתונים של המשתמש או את המכשיר. תוכנות זדוניות כוללות, בין היתר, אפליקציות שעלולות להזיק (PHA), תוכנות בינאריות או שינויים ב-framework, ומסווגות לקטגוריות כמו סוסים טרויאנים, פישינג ורוגלות. אנחנו מעדכנים ומוסיפים קטגוריות חדשות כל הזמן.

יש סוגים שונים של תוכנות זדוניות, עם יכולות שונות, אבל לכולן יש בדרך כלל אחת מהמטרות הבאות:

  • לפגוע בתקינות המכשיר של המשתמש.
  • שליטה במכשיר של המשתמש.
  • לאפשר פעולות בשליטה מרחוק כדי שהתוקף יוכל לגשת למכשיר שנפגע, להשתמש בו או לנצל אותו לרעה בדרך אחרת.
  • להעביר מידע אישי או פרטי כניסה מהמכשיר ללא גילוי נאות והסכמה מתאימים.
  • להפיץ ספאם או פקודות מהמכשיר הנפגע כדי להשפיע על מכשירים או רשתות אחרים.
  • לרמות את המשתמש.

שינוי של אפליקציה, קובץ בינארי או של מסגרת יכולים להיות מזיקים, ולכן יכולים ליצור התנהגות זדונית גם אם הם לא נועדו להזיק. הסיבה לכך היא שאפליקציות, קבצים בינאריים או שינויים של framework יכולים לפעול באופן שונה בהתאם למגוון משתנים. לכן, רכיבים שמזיקים למכשיר Android אחד לא עלולים לסכן בכלל מכשיר Android אחר. לדוגמה, מכשיר עם הגרסה העדכנית ביותר של Android לא מושפע מאפליקציות מזיקות שמשתמשות בממשקי API שהוצאו משימוש כדי לבצע התנהגות זדונית, אבל ייתכן שמכשיר שבו עדיין פועלת גרסה מוקדמת מאוד של Android עלול להיות בסיכון. אפליקציות, קבצים בינאריים או שינויים ב-framework מסומנים כתוכנות זדוניות או אפליקציות שעלולות להזיק (PHA) אם ברור שהם מהוות סיכון ברור לחלק מהמשתמשים או ממכשירי ה-Android.

הקטגוריות של התוכנות הזדוניות שבהמשך משקפות את האמונה הבסיסית שלנו שמשתמשים צריכים להבין את אופן השימוש במכשיר שלהם, ולקדם סביבה עסקית מאובטחת שמאפשרת חדשנות מתקדמת וחוויית משתמש מהימנה.

קטגוריות של תוכנות זדוניות

דלת אחורית

דלת אחורית

קוד שמאפשר לבצע פעולות לא רצויות, שעלולות להזיק ובשלט רחוק במכשיר.

הפעולות האלה עשויות לכלול התנהגות שתציב את האפליקציה, הקובץ הבינארי או שינוי ה-framework לאחת מהקטגוריות האחרות של התוכנות הזדוניות, אם יבוצעו באופן אוטומטי. באופן כללי, דלת אחורית היא תיאור של האופן שבו יכולה להתרחש פעולה שעלולה להזיק במכשיר, ולכן היא לא תואמת לחלוטין לקטגוריות כמו הונאת חיוב או רוגלה מסחרית. כתוצאה מכך, קבוצות משנה של דלתות אחוריות, בנסיבות מסוימות, מטופלות על ידי Google Play Protect כנקודת חולשה.

הונאת חיובים

הונאת חיובים

קוד שמחייב את המשתמש באופן אוטומטי באופן מטעה מכוון.

הונאת חיוב דרך מכשיר נייד מחולקת להונאת SMS, הונאת שיחות והונאת שיחה.

הונאת SMS

קוד שמחייב משתמשים לשלוח פרימיום SMS ללא הסכמה, או שמנסה להסוות את הפעילויות שלו ב-SMS על ידי הסתרת הסכמי גילוי נאות או הודעות SMS מספק הסלולר, כדי להודיע למשתמשים על חיובים או לאשר מינויים.

למרות שמבחינה טכנית, חלק מהקודים חושפים את ההתנהגות של שליחת הודעות SMS, אבל הם כוללים דרכי התנהגות נוספות שמתאימות להונאת הודעות SMS. לדוגמה, הסתרת חלקים מהסכם גילוי נאות מהמשתמשים, הפיכתם לבלתי קריאים והסתרה מותנה של הודעות SMS מספק הסלולר כדי ליידע את המשתמש לגבי חיובים או לאשר מינוי.

הונאת שיחות

קוד שמחייב משתמשים על ידי ביצוע שיחות למספרי פרימיום ללא הסכמת המשתמש.

הונאת תשלום

קוד שגורם למשתמשים להירשם או לרכוש תוכן באמצעות חשבון הטלפון הנייד שלהם.

הונאות בתשלום כוללות כל סוג של חיוב, מלבד הודעות SMS ושיחות פרימיום. לדוגמה, חיוב ישיר על ידי ספק, פרוטוקול של אפליקציות אלחוטיות (WAP) והעברת זמן אוויר בנייד. הונאת WAP היא אחד מהסוגים הנפוצים ביותר של הונאות. הונאת WAP יכולה לכלול הונאת משתמשים כדי שילחצו על לחצן ב-WebView שקוף שנטען ברקע. אחרי שמבצעים את הפעולה, מתחיל מינוי קבוע, ובדרך כלל הודעת האישור או הודעת האישור ב-SMS או באימייל נפרצים כדי למנוע מהמשתמשים לראות את העסקה הפיננסית.

תוכנת מעקב

תוכנת מעקב (רוגלה מסחרית)

קוד שאוסף ו/או מעביר נתוני משתמש רגישים ו/או אישיים מהמכשיר, ללא התראה או הסכמה מתאימות, ושלא מוצגת בו התראה מתמשכת על כך שהנתונים נאספים.

אפליקציות ניטור מטרגטות את המשתמשים במכשירים על ידי ניטור של נתוני משתמש אישיים או רגישים, ושידור הנתונים האלה או הפיכתם לנגישים לצדדים שלישיים.

אפליקציות המעקב רק אם הן מיועדות ומשווקות להורים כדי לעקוב אחרי ילדיהם או ניהול הארגון, בתנאי שהן עומדות בכל הדרישות שמפורטות בהמשך. אסור להשתמש באפליקציות האלה כדי לעקוב אחרי אנשים אחרים (לדוגמה, בני זוג), גם אם אותם אנשים מודעים לכך ונותנים לכך הרשאה וגם אם מוצגת התראה קבועה בנוגע לכך.

מניעת שירות

התקפת מניעת שירות (DoS)

קוד שמבצע, ללא ידיעתו של המשתמש, התקפת מניעת שירות (DoS), או שהוא חלק מהתקפת מניעת שירות מבוזרת על מערכות ומשאבים אחרים.

לדוגמה, מצב כזה יכול לקרות כששולחים נפח גדול של בקשות HTTP כדי לייצר עומס יתר על שרתים מרוחקים.

מורידים עוינים

מורידים עוינים

קוד שבעצמו לא עלול להזיק, אבל מוריד אפליקציות PHA אחרות.

הקוד עשוי להיות תוכנה להורדת תוכנות זדוניות אם:

  • יש סיבה להאמין שהוא נוצר לצורך הפצת PHA, והוא הוריד PHA או מכיל קוד שבאמצעותו ניתן להוריד ולהתקין אפליקציות; או
  • לפחות 5% מהאפליקציות שהוא מוריד הן אפליקציות שעלולות להזיק (PHA) עם סף מינימלי של 500 הורדות של האפליקציה שזוהו (25 הורדות של אפליקציות שעלולות להזיק).

דפדפנים מובילים ואפליקציות לשיתוף קבצים לא נחשבים כתוכנות הורדה עוינות, כל עוד:

  • הם לא מעודדים הורדות ללא אינטראקציה מצד המשתמש; וגם
  • כל ההורדות של אפליקציות שעלולות להזיק (PHA) מבוצעות על ידי משתמשים שהביעו הסכמה.
איום שלא קשור ל-Android

איום שלא קשור ל-Android

קוד שכולל איומים שאינם של Android.

האפליקציות האלה לא יכולות לגרום נזק למשתמש או למכשיר ה-Android, אבל הן מכילות רכיבים שעלולים להזיק לפלטפורמות אחרות.

פישינג

פישינג

קוד שטוען שהוא מגיע ממקור מהימן, מבקש את פרטי הכניסה לאימות או נתוני החיוב של המשתמש ושולח את הנתונים לצד שלישי. הקטגוריה הזו רלוונטית גם לקוד שמירט את ההעברה של פרטי הכניסה של משתמשים במעבר.

יעדים נפוצים לפישינג כוללים פרטי כניסה לבנק, מספרי כרטיסי אשראי ופרטי כניסה לחשבונות אונליין ברשתות חברתיות ובמשחקים.

הסלמת הרשאות (privilege escalation)

ניצול לרעה של הרשאות מורחבות

קוד שפוגע בתקינות המערכת על ידי פריצת ארגז החול של האפליקציה, השגת הרשאות מורחבות או שינוי או השבתה של הגישה לפונקציות ליבה שקשורות לאבטחה.

דוגמאות:

  • אפליקציה שמפירה את מודל ההרשאות של Android, או גונבת פרטי כניסה (כמו אסימוני OAuth) מאפליקציות אחרות.
  • אפליקציות שנעשה בהן שימוש לרעה בתכונות כדי למנוע הסרה או עצירה שלהן.
  • אפליקציה שמשביתה את SELinux.

אפליקציות עם הסלמת הרשאות (privilege escalation) שמכשירים ברמה הבסיסית (root) ללא הרשאת משתמש מסווגות כאפליקציות שעברו תהליך רוט (Root).

תוכנת כופר

תוכנת כופר

קוד שדורש שליטה חלקית או נרחבת במכשיר או בנתונים במכשיר, ודורש מהמשתמש לבצע תשלום או לבצע פעולה כדי לשחרר את הבקרה.

תוכנות כופר מסוימות מצפינות את הנתונים במכשיר ודורשות תשלום כדי לפענח את הנתונים ו/או להשתמש בתכונות הניהול של המכשיר, כדי שמשתמש טיפוסי לא יוכל להסיר אותם. דוגמאות:

  • חסימת המשתמש מחוץ למכשיר ודרישת כסף כדי להחזיר את השליטה עליו.
  • הצפנת נתונים במכשיר ודרישת תשלום, לכאורה כדי לפענח את הנתונים.
  • שימוש בתכונות של מנהל מדיניות המכשיר וחסימת ההסרה על ידי המשתמש.

יכול להיות שקוד שמופץ עם המכשיר שמטרתו העיקרית היא ניהול מכשירים מסובסד יוחרגו מהקטגוריה של תוכנות הכופר, בתנאי שהן עונות על הדרישות של נעילה וניהול מאובטחים, ובדרישות מתאימות של גילוי נאות והסכמה מצד המשתמשים.

מתבצע רוט (Root)

מתבצע רוט (Root)

קוד שמבצע את השורש של המכשיר.

יש הבדל בין קוד Rooting שאינו זדוני לבין קוד רוט (Root) זדוני. לדוגמה, אפליקציות שעברו תהליך רוט (Root) מאפשרות למשתמש לדעת מראש שהוא עומד להעביר את המכשיר להגדרות, ושהן לא מבצעות פעולות אחרות שעלולות להזיק (PHA) שחלות על קטגוריות אחרות של אפליקציות שעלולות להזיק.

אפליקציות זדוניות שמבצעות רוט (Root) לא מודיעות למשתמש על כך שהוא עומד לבצע רוט (Root) במכשיר. הן גם מודיעות למשתמש על תהליך הרוט (Root) מראש, אבל גם מבצעות פעולות אחרות שרלוונטיות לקטגוריות אחרות של אפליקציות שעלולות להזיק (PHA).

ספאם

ספאם

קוד ששולח הודעות לא רצויות לאנשי הקשר של המשתמש, או משתמש במכשיר בתור ממסר ספאם באימייל.


מתבצע רוט (Root)

רוגלה:

קוד שמעביר מידע אישי מהמכשיר ללא הודעה מוקדמת או הסכמה מתאימות.

לדוגמה, מספיק להעביר את המידע הבא ללא גילוי נאות או באופן בלתי צפוי את המשתמש כדי להיחשב כרוגלה:

  • רשימת אנשי קשר
  • תמונות או קבצים אחרים מכרטיס ה-SD או שאינם בבעלות האפליקציה
  • תוכן מהאימייל של המשתמש
  • יומן שיחות
  • יומן SMS
  • היסטוריית אתרים או סימניות דפדפן של דפדפן ברירת המחדל
  • מידע מספריות /data/ של אפליקציות אחרות.

התנהגויות שיכולות להיחשב לריגול נגד המשתמש יכולות גם להיות מסומנות כרוגלה. לדוגמה, הקלטת אודיו או הקלטת שיחות שבוצעו לטלפון, או גניבת נתוני אפליקציה.

סוס טרויאני

סוס טרויאני

קוד שנראה לא מועיל, כמו משחק שטוען שהוא רק משחק, אך מבצע פעולות לא רצויות כלפי המשתמש.

בדרך כלל משתמשים בסיווג הזה בשילוב עם קטגוריות של אפליקציות שעלולות להזיק (PHA). בסוס טרויאני יש רכיב תמים ורכיב מזיק נסתר. לדוגמה, משחק ששולח ברקע הודעות SMS פרימיום מהמכשיר של המשתמש, ללא ידיעתו של המשתמש.

לא נפוץ

לא נפוץ

אפליקציות חדשות ונדירות יכולות להיות מסווגות כ'לא נפוצות' אם ל-Google Play Protect אין מספיק מידע כדי להסיר אותן כבטוחות. זה לא אומר שהאפליקציה בהכרח מזיקה, אבל גם ללא בדיקה נוספת לא תהיה אפשרות לוודא שהיא בטוחה.

מיסוך

מסיכות

אפליקציה שנעשה בה שימוש במגוון שיטות התחמקות כדי להגיש למשתמש פונקציונליות שונה או מזויפת של אפליקציה. האפליקציות האלה מוסיפות את עצמן כאפליקציות או משחקים לגיטימיים כך שנראה שהן תמימות לחנויות האפליקציות, והן משתמשות בשיטות כמו ערפול קוד (obfuscation), טעינת קוד דינמי או הסוואה כדי לחשוף תוכן זדוני.

'תוכנות מסכות דומות' לקטגוריות אחרות של אפליקציות שעלולות להזיק (PHA), במיוחד טרויאני, וההבדל העיקרי ביניהן הוא השיטות שמשמשות לערפול קוד (obfuscation) לפעילות הזדונית.

תוכנה לא רצויה לנייד (MUwS)

Google מגדירה תוכנות לא רצויות (UwS) כאפליקציות שהן לא בהכרח תוכנות זדוניות, אבל מזיקות לסביבה העסקית של התוכנות. תוכנות לא רצויות לנייד (MUwS) מתחזות לאפליקציות אחרות או שאוספות לפחות אחת מהאפשרויות הבאות ללא הסכמת המשתמש:

  • מספר הטלפון של המכשיר
  • כתובת אימייל ראשית
  • מידע על אפליקציות מותקנות
  • מידע על חשבונות של צדדים שלישיים

המעקב אחר MUwS מתבצע בנפרד מהמעקב אחר תוכנות זדוניות. כאן אפשר לראות את הקטגוריות של MUwS.

אזהרות של Google Play Protect

כששירות Google Play Protect מזהה הפרה של המדיניות בנושא תוכנות זדוניות, מוצגת אזהרה למשתמש. כאן אפשר למצוא מחרוזות אזהרה לגבי כל הפרה.