Danh mục phần mềm độc hại

Chính sách của chúng tôi về phần mềm độc hại rất đơn giản. Mục đích của chính sách này là nhằm đảm bảo không có các hành vi gây hại (chẳng hạn như phần mềm độc hại) trong hệ sinh thái Android, bao gồm cả Cửa hàng Google Play và thiết bị của người dùng. Dựa trên nguyên tắc cơ bản này, chúng tôi luôn cố gắng xây dựng một hệ sinh thái Android an toàn cho người dùng cũng như cho các thiết bị Android của họ.

Phần mềm độc hại là các mã có thể gây rủi ro cho người dùng, dữ liệu của người dùng hoặc thiết bị. Phần mềm độc hại bao gồm nhưng không chỉ gồm những Ứng dụng có khả năng gây hại (PHA), tệp nhị phân hoặc nội dung chỉnh sửa khung ứng dụng. Có nhiều loại phần mềm độc hại, chẳng hạn như phần mềm trojan, phần mềm lừa đảo và ứng dụng gián điệp. Chúng tôi không ngừng cập nhật và bổ sung các danh mục mới.

Dù đa dạng về loại hình và tác hại, nhưng mục tiêu chung của những phần mềm độc hại này thường là:

  • Xâm phạm tính toàn vẹn trong thiết bị của người dùng.
  • Giành quyền kiểm soát thiết bị của người dùng.
  • Cho phép kẻ tấn công thực hiện các thao tác điều khiển từ xa để có thể truy cập, sử dụng hoặc khai thác thiết bị đã nhiễm mã độc.
  • Truyền dữ liệu cá nhân hoặc thông tin xác thực ra khỏi thiết bị mà không tiết lộ và nhận được sự đồng ý thích hợp.
  • Phát tán thư rác hoặc lệnh từ thiết bị bị nhiễm vi-rút để ảnh hưởng đến các thiết bị hoặc mạng khác.
  • Lừa gạt người dùng.

Ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung ứng dụng có thể tiềm ẩn nguy cơ gây hại, và do đó có thể tạo ra hành vi độc hại, ngay cả khi ứng dụng đó không nhằm mục đích gây hại. Lý do là ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung có thể hoạt động theo cách khác nhau tuỳ thuộc vào nhiều biến. Do đó, những gì gây hại cho thiết bị Android này có thể không gây rủi ro cho thiết bị Android khác. Ví dụ: một thiết bị chạy phiên bản Android mới nhất sẽ không bị ảnh hưởng bởi các ứng dụng có hại sử dụng API không dùng nữa để thực hiện hành vi độc hại, nhưng thiết bị vẫn đang chạy phiên bản Android rất sớm có thể gặp rủi ro. Ứng dụng, tệp nhị phân hoặc nội dung chỉnh sửa khung ứng dụng bị gắn cờ là phần mềm độc hại hoặc ứng dụng có khả năng gây hại (PHA) nếu rõ ràng gây rủi ro cho một số hoặc tất cả thiết bị và người dùng Android.

Danh mục phần mềm độc hại dưới đây phản ánh niềm tin cơ bản của chúng tôi rằng người dùng cần hiểu rõ cách thiết bị của họ đang được tận dụng và thúc đẩy một hệ sinh thái bảo mật, thúc đẩy sự đổi mới mạnh mẽ và trải nghiệm người dùng đáng tin cậy.

Danh mục phần mềm độc hại

Cửa sau

Cửa sau

Loại mã cho phép thực thi các thao tác không mong muốn, có thể gây hại, được điều khiển từ xa trên thiết bị.

Các thao tác này có thể bao gồm hành vi khiến ứng dụng, tệp nhị phân hoặc nội dung sửa đổi khung vào một trong các danh mục phần mềm độc hại khác nếu được thực thi tự động. Nhìn chung, cửa hậu là nội dung mô tả cách một thao tác có khả năng gây hại trên thiết bị, do đó, không hoàn toàn phù hợp với các danh mục như gian lận thanh toán hoặc phần mềm gián điệp thương mại. Do đó, trong một số trường hợp, Google Play Protect sẽ coi một nhóm nhỏ các cửa sau là lỗ hổng.

Gian lận thanh toán

Gian lận thanh toán

Loại mã có chủ ý lừa đảo để tự động tính phí người dùng.

Lừa đảo trong hoạt động thanh toán trên thiết bị di động được chia thành Lừa đảo qua tin nhắn SMS, Lừa đảo qua cuộc gọi và lừa đảo qua cước phí.

Lừa đảo qua tin nhắn SMS

Mã tính phí người dùng gửi tin nhắn SMS có tính phí khi chưa có sự đồng ý, hoặc cố gắng nguỵ trang các hoạt động SMS của mình bằng cách ẩn thoả thuận tiết lộ thông tin hoặc tin nhắn SMS từ nhà mạng di động thông báo cho người dùng về các khoản phí hoặc xác nhận gói thuê bao.

Một số mã, mặc dù về mặt kỹ thuật đã tiết lộ hành vi gửi tin nhắn SMS, nhưng vẫn giới thiệu một hành vi khác tạo điều kiện cho hành vi lừa đảo qua tin nhắn SMS. Ví dụ: ẩn một số phần trong thoả thuận công bố thông tin với người dùng, khiến người dùng không đọc được những phần đó và chặn có điều kiện các tin nhắn SMS từ nhà mạng di động để thông báo cho người dùng về các khoản phí hoặc xác nhận gói thuê bao.

Gian lận cuộc gọi

Loại mã tính phí người dùng bằng cách thực hiện cuộc gọi đến các số điện thoại đặc biệt mà không có sự đồng ý của người dùng.

Lừa đảo qua cước phí

Mã lừa người dùng đăng ký hoặc mua nội dung qua hoá đơn cước phí điện thoại di động.

Lừa đảo qua cước phí bao gồm mọi hình thức thanh toán ngoại trừ tin nhắn SMS và cuộc gọi đặc biệt. Ví dụ: hình thức thanh toán trực tiếp qua nhà mạng, giao thức ứng dụng không dây (WAP) và chuyển thời gian phát sóng trên thiết bị di động. Lừa đảo bằng điểm truy cập WAP là một trong những hình thức lừa đảo qua cước phí phổ biến nhất. Hành vi gian lận WAP có thể bao gồm hành vi lừa người dùng nhấp vào một nút trên một WebView trong suốt, được tải ngầm. Khi người dùng thực hiện thao tác này, hệ thống sẽ bắt đầu một gói thuê bao định kỳ và tin nhắn SMS hoặc email xác nhận thường bị xâm nhập để ngăn không cho người dùng nhận thấy có giao dịch tài chính đang diễn ra.

Phần mềm theo dõi

Phần mềm theo dõi (Phần mềm gián điệp thương mại)

Loại mã thu thập và/hoặc truyền dữ liệu cá nhân hoặc nhạy cảm của người dùng từ một thiết bị mà không thông báo đầy đủ hoặc chưa có sự đồng ý của người dùng, cũng như không hiện thông báo liên tục cho biết quá trình này đang diễn ra.

Ứng dụng theo dõi nhắm đến người dùng thiết bị bằng cách theo dõi dữ liệu cá nhân hoặc dữ liệu nhạy cảm của người dùng, đồng thời truyền hoặc cho phép bên thứ ba truy cập vào dữ liệu này.

Loại ứng dụng giám sát duy nhất được chấp nhận là ứng dụng được thiết kế và tiếp thị riêng cho cha mẹ để theo dõi con cái hoặc hoạt động quản lý doanh nghiệp, miễn là ứng dụng đó hoàn toàn tuân thủ những yêu cầu được mô tả dưới đây. Không ai được dùng những ứng dụng này để theo dõi người khác (ví dụ: vợ/chồng) ngay cả khi họ biết và đồng ý với việc theo dõi đó, bất kể ứng dụng có hiển thị thông báo liên tục hay không.

Từ chối dịch vụ

Từ chối dịch vụ (DoS)

Loại mã mà người dùng không biết sẽ thực hiện cuộc tấn công từ chối dịch vụ (DoS) hoặc là một phần của cuộc tấn công từ chối dịch vụ nhắm vào các hệ thống và tài nguyên khác.

Ví dụ: tình trạng này có thể xảy ra bằng cách gửi một lượng lớn yêu cầu HTTP để tạo ra quá nhiều tải trên các máy chủ từ xa.

Trình tải ứng dụng gây hại

Trình tải ứng dụng gây hại

Loại mã về bản chất không có nguy cơ gây hại, nhưng lại tải các ứng dụng có khả năng gây hại khác xuống.

Mã có thể là trình tải ứng dụng gây hại nếu:

  • Bạn có lý do để tin rằng mã này được tạo ra để lan truyền các ứng dụng có khả năng gây hại và đã tải các ứng dụng đó xuống, hoặc chứa mã có thể tải và cài đặt ứng dụng; hoặc
  • Ít nhất 5% số ứng dụng được tải xuống qua mã này là ứng dụng có khả năng gây hại với ngưỡng tối thiểu là 500 lượt tải ứng dụng ghi nhận được (ghi nhận được 25 lượt tải ứng dụng có khả năng gây hại).

Các trình duyệt lớn và ứng dụng chia sẻ tệp không được coi là trình tải ứng dụng có khả năng gây hại xuống vì:

  • Trình duyệt/ứng dụng không tải nội dung xuống khi người dùng không thực hiện thao tác tải xuống; và
  • Tất cả các ứng dụng có khả năng gây hại đã tải xuống đều có sự cho phép của người dùng.
Mối đe doạ không phải trên Android

Mối đe doạ không phải trên Android

Mã chứa các mối đe doạ không phải Android.

Những ứng dụng này không thể gây hại cho người dùng hoặc thiết bị Android, nhưng lại chứa các thành phần có khả năng gây hại cho nền tảng khác.

Hành vi lừa đảo

Hành vi lừa đảo

Mã giả vờ đến từ một nguồn đáng tin cậy, yêu cầu thông tin xác thực hoặc thông tin thanh toán của người dùng và gửi dữ liệu cho bên thứ ba. Danh mục này cũng áp dụng cho mã chặn quá trình truyền thông tin xác thực của người dùng trong quá trình chuyển dữ liệu.

Các mục tiêu lừa đảo phổ biến bao gồm thông tin đăng nhập ngân hàng, số thẻ tín dụng và thông tin đăng nhập tài khoản trực tuyến cho mạng xã hội và trò chơi.

Chuyển lên cấp đặc quyền

Lợi dụng đặc quyền cấp cao

Loại mã làm tổn hại tính toàn vẹn của hệ thống bằng việc phá vỡ hộp cát của ứng dụng, chiếm đặc quyền cấp cao, hoặc thay đổi hay vô hiệu hoá quyền truy cập vào các chức năng cốt lõi liên quan đến bảo mật.

Ví dụ:

  • Ứng dụng vi phạm mô hình quản lý quyền của Android hoặc đánh cắp thông tin xác thực (như mã thông báo OAuth) qua các ứng dụng khác.
  • Ứng dụng lợi dụng các tính năng để ngăn người dùng gỡ cài đặt hoặc vô hiệu hóa ứng dụng.
  • Ứng dụng vô hiệu hoá SELinux.

Nếu sở hữu đặc quyền cấp cao để can thiệp vào hệ thống của thiết bị khi chưa được người dùng cho phép, ứng dụng sẽ được phân loại là ứng dụng can thiệp hệ thống.

Phần mềm tống tiền

Phần mềm tống tiền

Loại mã kiểm soát một phần hoặc phần lớn thiết bị hoặc dữ liệu trên một thiết bị và yêu cầu người dùng trả phí hoặc thực hiện một hành động để huỷ bỏ quyền kiểm soát.

Một số phần mềm tống tiền mã hoá dữ liệu trên thiết bị rồi yêu cầu người dùng thanh toán để giải mã dữ liệu và/hoặc tận dụng các tính năng quản trị thiết bị để người dùng thông thường không thể xoá dữ liệu đó. Ví dụ:

  • Khoá người dùng ra khỏi thiết bị và đòi tiền để khôi phục quyền kiểm soát của người dùng.
  • Mã hoá dữ liệu trên thiết bị rồi đòi tiền, dường như là để giải mã dữ liệu.
  • Lợi dụng các tính năng của trình quản lý chính sách thiết bị và khiến người dùng không thể xoá nội dung.

Mã được phân phối cùng thiết bị có mục đích chính là quản lý thiết bị được trợ giá có thể được loại trừ khỏi danh mục phần mềm tống tiền nếu mã đó đáp ứng thành công các yêu cầu về việc quản lý và khoá bảo mật, cũng như yêu cầu đầy đủ về việc công bố thông tin và yêu cầu về sự đồng ý của người dùng.

can thiệp vào hệ thống

can thiệp vào hệ thống

Mã can thiệp vào hệ thống của thiết bị.

Có sự khác biệt giữa mã can thiệp vào hệ thống không độc hại và mã độc hại. Ví dụ: việc can thiệp vào hệ thống của ứng dụng cho người dùng biết trước rằng họ sẽ can thiệp vào hệ thống của thiết bị và không thực thi những hành động có khả năng gây hại khác áp dụng cho các danh mục ứng dụng có khả năng gây hại khác.

Ứng dụng can thiệp vào hệ thống gây hại không báo cho người dùng biết rằng ứng dụng sẽ can thiệp vào hệ thống của thiết bị, hoặc ứng dụng thông báo trước cho người dùng về việc can thiệp vào hệ thống mà còn thực thi những thao tác khác thuộc các danh mục khác về ứng dụng có khả năng gây hại (PHA).

Nội dung rác

Nội dung rác

Loại mã gửi tin nhắn không mong muốn đến người liên hệ của người dùng hoặc sử dụng thiết bị làm email chuyển tiếp thư rác.


can thiệp vào hệ thống

Phần mềm gián điệp

Loại mã truyền dữ liệu cá nhân ra khỏi thiết bị mà không thông báo đầy đủ hoặc chưa được họ đồng ý.

Ví dụ: việc truyền bất kỳ thông tin nào sau đây mà không tiết lộ hoặc theo cách bất ngờ cho người dùng đều được coi là phần mềm gián điệp:

  • Danh bạ
  • Ảnh hoặc các tệp khác trong thẻ SD hay những tệp không thuộc quyền sở hữu của ứng dụng
  • Nội dung trong email của người dùng
  • Nhật ký cuộc gọi
  • Nhật ký SMS
  • Nhật ký duyệt web hoặc dấu trang trên trình duyệt mặc định
  • Thông tin trong các thư mục /data/ của các ứng dụng khác.

Những hành vi có thể được coi là theo dõi người dùng cũng có thể bị gắn cờ là phần mềm gián điệp. Ví dụ: ghi âm hoặc ghi âm cuộc gọi đến điện thoại, hoặc đánh cắp dữ liệu ứng dụng.

Phần mềm trojan

Phần mềm trojan

Loại mã có vẻ vô hại, chẳng hạn như một trò chơi tuyên bố rằng đó chỉ là một trò chơi, nhưng lại thực hiện những hành động không mong muốn và gây hại cho người dùng.

Phân loại này thường được sử dụng kết hợp với các loại PHA (ứng dụng có khả năng gây hại) khác. Phần mềm trojan có một thành phần vô hại và một thành phần gây hại được ẩn giấu. Ví dụ: một trò chơi gửi tin nhắn SMS có tính phí từ thiết bị của người dùng ở chế độ nền mà người dùng không biết.

Không phổ biến

Không phổ biến

Các ứng dụng mới và hiếm gặp có thể được phân loại là không phổ biến nếu Google Play Protect không có đủ thông tin để xác định rằng những ứng dụng đó an toàn. Điều này không hẳn là ứng dụng có hại. Tuy nhiên, chúng tôi không thể xác định rằng ứng dụng đó an toàn khi chưa được xem xét thêm.

mặt nạ

Mặt nạ

Một ứng dụng dùng nhiều kỹ thuật né tránh để phục vụ người dùng chức năng khác biệt hoặc chức năng giả mạo của ứng dụng. Những ứng dụng này tự che giấu dưới dạng ứng dụng hoặc trò chơi hợp pháp để có vẻ như không vô hại với các cửa hàng ứng dụng, đồng thời sử dụng các kỹ thuật như làm rối mã nguồn, tải mã động hoặc kỹ thuật che giấu để phát hiện nội dung độc hại.

Phần mềm mặt nạ tương tự như các loại PHA (ứng dụng có khả năng gây hại) khác, cụ thể là Trojan, với điểm khác biệt chính là các kỹ thuật dùng để làm rối mã nguồn cho hoạt động độc hại.

Phần mềm không mong muốn trên thiết bị di động (MUwS)

Google định nghĩa phần mềm không mong muốn (UwS) là ứng dụng không phải là phần mềm độc hại nghiêm trọng, nhưng có hại cho hệ sinh thái phần mềm. Phần mềm không mong muốn trên thiết bị di động (MUwS) mạo danh các ứng dụng khác hoặc thu thập ít nhất một trong những nội dung sau mà không có sự đồng ý của người dùng:

  • Số điện thoại của thiết bị
  • Địa chỉ email chính
  • Thông tin về ứng dụng đã cài đặt
  • Thông tin về tài khoản bên thứ ba

MUwS được theo dõi riêng biệt với phần mềm độc hại. Bạn có thể xem các danh mục MUwS tại đây.

Cảnh báo của Google Play Protect

Khi Google Play Protect phát hiện thấy lỗi vi phạm chính sách về phần mềm độc hại, hệ thống sẽ hiển thị cảnh báo cho người dùng. Bạn có thể xem các chuỗi cảnh báo cho từng lỗi vi phạm tại đây.