Категории вредоносных программ

Наша политика в отношении вредоносного ПО проста: экосистема Android, включая Google Play Store, и пользовательские устройства должны быть свободны от вредоносного поведения (например, вредоносного ПО). Благодаря этому основополагающему принципу мы стремимся обеспечить безопасную экосистему Android для наших пользователей и их устройств Android.

Вредоносное ПО — это любой код, который может подвергнуть риску пользователя, его данные или устройство. Вредоносное ПО включает в себя, помимо прочего, потенциально вредные приложения (PHA), двоичные файлы или модификации инфраструктуры, состоящие из таких категорий, как трояны, фишинговые и шпионские приложения, и мы постоянно обновляем и добавляем новые категории.

Несмотря на разнообразие типов и возможностей, вредоносное ПО обычно преследует одну из следующих целей:

  • Нарушить целостность устройства пользователя.
  • Получите контроль над устройством пользователя.
  • Включите операции удаленного управления, чтобы злоумышленник мог получить доступ, использовать или иным образом эксплуатировать зараженное устройство.
  • Передавать личные данные или учетные данные с устройства без надлежащего раскрытия и согласия.
  • Распространять спам или команды с зараженного устройства, чтобы повлиять на другие устройства или сети.
  • Обмануть пользователя.

Модификация приложения, двоичного файла или платформы может быть потенциально опасной и, следовательно, может привести к вредоносному поведению, даже если она не была предназначена для нанесения вреда. Это связано с тем, что приложения, двоичные файлы или модификации платформы могут функционировать по-разному в зависимости от множества переменных. Таким образом, то, что вредно для одного устройства Android, может вообще не представлять опасности для другого устройства Android. Например, на устройство под управлением последней версии Android не влияют вредоносные приложения, которые используют устаревшие API для вредоносного поведения, но устройство, на котором все еще работает очень ранняя версия Android, может подвергаться риску. Приложения, двоичные файлы или модификации платформы помечаются как вредоносные или PHA, если они явно представляют угрозу для некоторых или всех устройств Android и пользователей.

Приведенные ниже категории вредоносного ПО отражают наше основополагающее убеждение, что пользователи должны понимать, как используется их устройство, и способствовать созданию безопасной экосистемы, которая обеспечивает надежные инновации и надежный пользовательский опыт.

Категории вредоносных программ

Черный ход

Черный ход

Код, позволяющий выполнять на устройстве нежелательные, потенциально опасные операции с дистанционным управлением.

Эти операции могут включать в себя поведение, которое при автоматическом выполнении помещает приложение, двоичный файл или модификацию платформы в одну из других категорий вредоносного ПО. В целом, бэкдор — это описание того, как на устройстве может произойти потенциально опасная операция, и поэтому он не полностью соответствует таким категориям, как мошенничество с выставлением счетов или коммерческое шпионское ПО. В результате подмножество бэкдоров при некоторых обстоятельствах рассматривается Google Play Protect как уязвимость.

Мошенничество с выставлением счетов

Мошенничество с выставлением счетов

Код, автоматически взимающий плату с пользователя намеренно вводящим в заблуждение способом.

Мошенничество с мобильными счетами подразделяется на мошенничество с SMS, мошенничество со звонками и мошенничество с междугородными звонками.

СМС-мошенничество

Код, который взимает с пользователей плату за отправку премиальных SMS-сообщений без согласия или пытается замаскировать свою SMS-деятельность, скрывая соглашения о раскрытии информации или SMS-сообщения от мобильного оператора, уведомляющие пользователя о платежах или подтверждающие подписку.

Некоторые коды, хотя технически раскрывают поведение отправки SMS, вводят дополнительное поведение, позволяющее предотвратить мошенничество с SMS. Примеры включают сокрытие частей соглашения о раскрытии информации от пользователя, делая их нечитаемыми и условное подавление SMS-сообщений от мобильного оператора, информирующих пользователя о платежах или подтверждающих подписку.

Мошенничество при вызове

Код, который взимает с пользователей плату за звонки на платные номера без согласия пользователя.

Мошенничество с платными дорогами

Код, который обманом заставляет пользователей подписываться на контент или покупать контент через счет мобильного телефона.

Платное мошенничество включает в себя любые виды выставления счетов, кроме платных SMS и платных звонков. Примеры этого включают прямое выставление счетов оператору связи, протокол беспроводных приложений (WAP) и передачу мобильного эфирного времени. WAP-мошенничество является одним из наиболее распространенных видов мошенничества с междугородными звонками. WAP-мошенничество может включать в себя обман пользователей с целью заставить их нажать кнопку на незаметно загружаемом прозрачном WebView. После выполнения действия инициируется повторяющаяся подписка, а SMS-сообщение или электронное письмо с подтверждением часто перехватываются, чтобы пользователи не заметили финансовую транзакцию.

Сталкерварь

Сталкерное ПО (коммерческое шпионское ПО)

Код, который собирает и/или передает личные или конфиденциальные данные пользователя с устройства без надлежащего уведомления или согласия и не отображает постоянное уведомление о том, что это происходит.

Приложения Stalkerware нацелены на пользователей устройств, отслеживая личные или конфиденциальные пользовательские данные, а также передавая или делая эти данные доступными третьим лицам.

Единственными приемлемыми приложениями для наблюдения являются приложения, разработанные и продаваемые исключительно для родителей с целью отслеживания своих детей или руководства предприятия, при условии, что они полностью соответствуют требованиям, описанным ниже. Эти приложения нельзя использовать для отслеживания кого-либо еще (например, супруга), даже с его ведома и разрешения, независимо от того, отображается ли постоянное уведомление.

Отказ в обслуживании

Отказ в обслуживании (DoS)

Код, который без ведома пользователя выполняет атаку типа «отказ в обслуживании» (DoS) или является частью распределенной DoS-атаки на другие системы и ресурсы.

Например, это может произойти из-за отправки большого количества HTTP-запросов, что приводит к чрезмерной нагрузке на удаленные серверы.

Враждебные загрузчики

Враждебные загрузчики

Код, который сам по себе не является потенциально опасным, но загружает другие PHA.

Код может быть враждебным загрузчиком, если:

  • Есть основания полагать, что он был создан для распространения PHA и загружал PHA или содержал код, позволяющий загружать и устанавливать приложения; или
  • Не менее 5% загружаемых им приложений являются PHA с минимальным порогом в 500 наблюдаемых загрузок приложений (25 наблюдаемых загрузок PHA).

Основные браузеры и приложения для обмена файлами не считаются вредоносными загрузчиками, если:

  • Они не увеличивают количество загрузок без взаимодействия с пользователем; и
  • Все загрузки PHA инициируются пользователем, давшим согласие.
Угроза, не связанная с Android

Угроза, не связанная с Android

Код, содержащий угрозы, не связанные с Android.

Эти приложения не могут причинить вред пользователю или устройству Android, но содержат компоненты, потенциально опасные для других платформ.

Фишинг

Фишинг

Код, который якобы получен из надежного источника, запрашивает учетные данные для аутентификации пользователя или платежную информацию и отправляет данные третьей стороне. Эта категория также относится к коду, который перехватывает передачу учетных данных пользователя в пути.

Распространенными целями фишинга являются банковские учетные данные, номера кредитных карт и учетные данные онлайн-аккаунтов для социальных сетей и игр.

Повышение привилегий

Злоупотребление повышенными привилегиями

Код, который ставит под угрозу целостность системы, нарушая изолированную программную среду приложения, получая повышенные привилегии или изменяя или отключая доступ к основным функциям, связанным с безопасностью.

Примеры включают в себя:

  • Приложение, которое нарушает модель разрешений Android или крадет учетные данные (например, токены OAuth) из других приложений.
  • Приложения, которые злоупотребляют функциями, чтобы предотвратить их удаление или остановку.
  • Приложение, которое отключает SELinux.

Приложения для повышения привилегий, которые рутируют устройства без разрешения пользователя, классифицируются как рутирующие приложения.

программы-вымогатели

программы-вымогатели

Код, который берет на себя частичный или обширный контроль над устройством или данными на устройстве и требует, чтобы пользователь произвел платеж или выполнил действие для освобождения контроля.

Некоторые программы-вымогатели шифруют данные на устройстве и требуют оплату за расшифровку данных и/или использование функций администратора устройства, чтобы обычный пользователь не мог их удалить. Примеры включают в себя:

  • Блокировка пользователя на его устройстве и требование денег за восстановление контроля над пользователем.
  • Шифрование данных на устройстве и требование оплаты якобы за расшифровку данных.
  • Использование функций диспетчера политики устройств и блокировка удаления пользователем.

Код, распространяемый вместе с устройством, основной целью которого является субсидированное управление устройством, может быть исключен из категории программ-вымогателей при условии, что он успешно соответствует требованиям по безопасной блокировке и управлению, а также адекватным требованиям к раскрытию информации и согласию пользователей.

Укоренение

Укоренение

Код, который рутирует устройство.

Существует разница между невредоносным и вредоносным корневым кодом. Например, приложения для рутирования заранее сообщают пользователю, что они собираются рутировать устройство, и не выполняют других потенциально вредных действий, применимых к другим категориям PHA.

Вредоносные приложения для рутирования не информируют пользователя о том, что они собираются рутировать устройство, или заранее информируют пользователя о рутировании, но также выполняют другие действия, применимые к другим категориям PHA.

Спам

Спам

Код, который отправляет нежелательные сообщения контактам пользователя или использует устройство в качестве рассылки спама по электронной почте.


Укоренение

Шпионское ПО

Код, который передает персональные данные с устройства без надлежащего уведомления или согласия.

Например, передача любой из следующей информации без раскрытия или способом, неожиданным для пользователя, достаточна для того, чтобы считаться шпионским ПО:

  • Список контактов
  • Фотографии или другие файлы с SD-карты или файлы, не принадлежащие приложению.
  • Контент из электронной почты пользователя
  • Журнал вызовов
  • Журнал СМС
  • История веб-поиска или закладки браузера браузера по умолчанию
  • Информация из каталогов /data/ других приложений.

Поведение, которое можно рассматривать как шпионаж за пользователем, также может быть помечено как шпионское ПО. Например, запись звука или звонков, сделанных на телефон, или кража данных приложения.

Троян

Троян

Код, который выглядит безобидным, например игра, которая выдает себя за игру, но выполняет нежелательные действия против пользователя.

Эта классификация обычно используется в сочетании с другими категориями PHA. Троян имеет безобидный компонент и скрытый вредоносный компонент. Например, игра, которая отправляет премиум-СМС-сообщения с устройства пользователя в фоновом режиме и без ведома пользователя.

Необычный

Необычный

Новые и редкие приложения могут быть классифицированы как необычные, если у Google Play Protect недостаточно информации, чтобы признать их безопасными. Это не означает, что приложение обязательно вредно, но без дальнейшей проверки его нельзя признать безопасным.

маскарадная посуда

Масочная посуда

Приложение, которое использует различные методы уклонения для предоставления пользователю других или поддельных функций приложения. Эти приложения маскируются под законные приложения или игры, чтобы казаться безобидными для магазинов приложений, и используют такие методы, как запутывание, динамическая загрузка кода или маскировка, для выявления вредоносного контента.

Маскирующее ПО похоже на другие категории PHA, в частности на трояны, с основным отличием в методах, используемых для сокрытия вредоносной активности.

Мобильное нежелательное программное обеспечение (MUwS)

Google определяет нежелательное программное обеспечение (UwS) как приложения, которые не являются строго вредоносными программами, но наносят вред экосистеме программного обеспечения. Нежелательное мобильное программное обеспечение (MUwS) выдает себя за другие приложения или собирает хотя бы одно из следующего без согласия пользователя:

  • Номер телефона устройства
  • Основной адрес электронной почты
  • Информация об установленных приложениях
  • Информация о сторонних аккаунтах

MUwS отслеживается отдельно от вредоносного ПО. Посмотреть категории MUwS можно здесь .

Предупреждения Google Play Protect

Когда Google Play Protect обнаруживает нарушение политики в отношении вредоносного ПО, пользователю отображается предупреждение. Строки предупреждений для каждого нарушения доступны здесь .