Kategorie złośliwego oprogramowania

Nasze zasady dotyczące złośliwego oprogramowania są proste: ekosystem Androida, łącznie ze Sklepem Google Play, oraz urządzenia użytkowników powinny być wolne od złośliwych działań (wykonywanych np. przez złośliwe oprogramowanie). Kierując się tą podstawową zasadą, staramy się zapewnić użytkownikom i ich urządzenia z Androidem bezpieczny ekosystem.

Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika, jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy między innymi potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platformy, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana.

Złośliwe oprogramowanie ma różne formy i możliwości, jednak zwykle jest tworzone w jednym z tych celów:

  • naruszenie integralności urządzenia użytkownika;
  • Przejmij kontrolę nad urządzeniem użytkownika.
  • Pozwalaj atakującym na dostęp do zainfekowanego urządzenia, korzystanie z innych urządzeń lub w inny sposób je wykorzystuje.
  • przesyłać danych osobowych lub danych logowania z urządzenia bez odpowiedniej informacji i zgody;
  • rozsyłanie spamu lub poleceń z zainfekowanych urządzeń na inne urządzenia lub sieci.
  • oszukanie użytkownika.

Aplikacja, plik binarny lub modyfikacja platformy mogą być szkodliwe, tzn. mogą wykazywać złośliwe zachowania, nawet jeśli nie taka była intencja ich twórców. Dzieje się tak, ponieważ aplikacje, pliki binarne i modyfikacje platformy mogą działać inaczej w zależności od różnych zmiennych. To, co jest szkodliwe dla jednego urządzenia z Androidem, może nie stanowić zagrożenia dla innego urządzenia z Androidem. Na przykład na urządzeniu z najnowszą wersją Androida nie wpływają szkodliwe aplikacje, które wykorzystują wycofywane interfejsy API do wykonywania złośliwych działań, ale urządzenie z najnowszą wersją Androida jest narażone na ryzyko. Aplikacje, pliki binarne i modyfikacje platformy są oznaczane jako złośliwe oprogramowanie lub potencjalnie szkodliwe aplikacje, jeśli stwarzają wyraźne zagrożenie dla niektórych lub wszystkich urządzeń i użytkowników z Androidem.

Poniższe kategorie złośliwego oprogramowania odzwierciedlają nasze podstawowe przekonanie, że użytkownicy powinni rozumieć, w jaki sposób ich urządzenia są wykorzystywane, i promują bezpieczny ekosystem, który umożliwia wprowadzanie zdecydowanych innowacji i budowanie zaufania użytkowników.

Kategorie złośliwego oprogramowania

Backdoor

Backdoor

Jest to kod, który umożliwia przeprowadzenie na urządzeniu niechcianych, potencjalnie szkodliwych, kontrolowanych zdalnie operacji.

Operacje te mogą obejmować działania, które w przypadku automatycznego wykonania aplikacji, pliku binarnego lub modyfikacji platformy zaliczone do jednej z kategorii złośliwego oprogramowania. Ogólnie rzecz biorąc, określenie „tajny dostęp” to opis tego, w jaki sposób na urządzeniu może dojść do potencjalnie szkodliwej operacji, dlatego nie można go do końca przypisać do takich kategorii jak oszustwa związane z płatnościami czy komercyjne programy szpiegowskie. W związku z tym podzbiór zabezpieczeń może być czasem traktowany przez Google Play Protect jako lukę w zabezpieczeniach.

Oszustwo związane z płatnościami

Oszustwo związane z płatnościami

Kod, który wprowadza użytkownika w błąd i powoduje automatyczne naliczanie opłat.

Oszustwa obejmujące płatności mobilne dzielimy na fałszywe SMS-y, połączenia i dodatkowe opłaty.

Oszustwa związane z SMS-ami

Jest to kod, który nalicza opłaty za wysyłanie płatnych SMS-ów bez zgody użytkownika lub próbuje zamaskować aktywność związaną z SMS-ami przez ukrywanie umów albo powiadomień od operatora informujących użytkownika o opłatach lub potwierdzających rozpoczęcie subskrypcji.

Mimo że technicznie nie zawiera informacji o wysyłaniu SMS-ów, niektóre kody wprowadzają dodatkowe zachowania umożliwiające oszustwo. Może to być np. ukrywanie przed użytkownikiem części umowy, przez co są one nieczytelne, a także warunkowe blokowanie wiadomości od operatora komórkowego, które informują użytkownika o naliczaniu opłat lub potwierdzają subskrypcję.

Oszustwo związane z połączeniami

Jest to kod, który powoduje naliczanie opłat przez nawiązywanie połączeń z numerami premium bez uzyskania zgody użytkownika.

Oszustwa telefoniczne

Jest to kod, który nakłania użytkowników do zakupu subskrypcji lub treści z wykorzystaniem płatności przez operatora komórkowego.

Oszustwa te obejmują dowolny rodzaj opłat poza specjalnymi SMS-ami i połączeniami. Mogą to być płatności bezpośrednio u operatora, protokół aplikacji bezprzewodowej (WAP) oraz transfer danych w ramach transmisji mobilnej. Jednym z najczęstszych rodzajów opłat drogowych są Oszustwa związane z WAP mogą obejmować nakłanianie użytkowników do kliknięcia przycisku w przejrzystym, niewidocznym elemencie WebView. Po wykonaniu tej czynności rozpoczyna się subskrypcja cykliczna i często haker przechwytuje SMS-a lub e-maila z potwierdzeniem, aby użytkownicy nie zauważyli transakcji finansowej.

stalkerware

Stalkerware (komercyjne programy szpiegowskie)

Kod, który zbiera lub przesyła z urządzenia prywatne lub wrażliwe dane użytkownika bez odpowiedniego powiadomienia i zgody oraz nie wyświetla stałego powiadomienia, gdy ma to miejsce.

Aplikacje typu stalkerware namierzają użytkowników urządzeń, monitorując ich dane osobowe i poufne oraz przesyłając je do osób trzecich lub udostępniając je osobom trzecim.

Jedynymi dozwolonymi aplikacjami do nadzoru są aplikacje stworzone i promowane jako przeznaczone wyłącznie dla rodziców do śledzenia dzieci lub zarządzania firmą, pod warunkiem, że są w pełni zgodne z wymaganiami opisanymi poniżej. Nie mogą być one używane do śledzenia nikogo innego (np. współmałżonka), nawet za zgodą i wiedzą tej osoby, niezależnie od tego, czy wyświetlane jest stałe powiadomienie.

Atak typu DoS

Atak typu DoS

Jest to kod, który bez wiedzy użytkownika wykonuje atak typu DoS lub jest częścią rozproszonego ataku typu DoS na inne systemy i zasoby.

Może to na przykład polegać na wysyłaniu dużej liczby żądań HTTP w celu wygenerowania nadmiernego obciążenia zdalnych serwerów.

Narzędzia do pobierania szkodliwych plików

Narzędzia do pobierania szkodliwych plików

Jest to kod, który sam w sobie nie jest groźny, ale pobiera inne potencjalnie szkodliwe aplikacje.

Kod może być uznany za narzędzie do pobierania szkodliwych plików, jeśli:

  • Istnieje podejrzenie, że kod został utworzony do pobierania potencjalnie szkodliwych aplikacji, pobrał takie aplikacje lub zawiera kod, który może pobierać i instalować aplikacje.
  • Co najmniej 5% aplikacji pobranych przez ten kod to potencjalnie szkodliwe aplikacje z minimalnym progu 500 zarejestrowanych pobrań aplikacji (25 zarejestrowanych pobrań potencjalnie szkodliwych aplikacji).

Główne przeglądarki i aplikacje do udostępniania plików nie są uznawane za szkodliwe programy pobierające, pod warunkiem że:

  • Nie zwiększają liczby pobrań bez interakcji użytkownika.
  • Wszystkie pobieranie potencjalnie szkodliwych aplikacji jest inicjowane przez użytkowników, którzy wyrazili zgodę.
Zagrożenie bez Androida

Zagrożenie bez Androida

Kod zawierający zagrożenia, które nie dotyczą Androida.

Takie aplikacje nie mogą uszkodzić urządzenia z Androidem ani użytkownika z Androidem, ale zawierają komponenty, które mogą być szkodliwe dla innych platform.

Wyłudzanie informacji (phishing)

Wyłudzanie informacji (phishing)

Jest to kod, który sprawia wrażenie, że pochodzi z zaufanego źródła, ale żąda danych uwierzytelniających lub informacji rozliczeniowych użytkownika i wysyła je do osoby trzeciej. Ta kategoria dotyczy również kodu, który przechwytuje przesyłanie danych logowania użytkownika podczas przesyłania.

Częstym celem ataków phishingowych są dane logowania do banku, numery kart kredytowych i dane logowania do kont internetowych w sieciach społecznościowych lub grach.

Eskalacja uprawnień

Nadużywanie podwyższonych uprawnień

Jest to kod, który narusza integralność systemu przez uszkodzenie piaskownicy aplikacji, zdobycie podwyższonych uprawnień albo zmianę lub wyłączenie dostępu do podstawowych funkcji związanych z bezpieczeństwem.

Przykłady:

  • Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
  • Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
  • Aplikacja, która wyłącza SELinux.

Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.

ransomware,

ransomware,

Jest to kod, który częściowo lub w znacznym stopniu przejmuje kontrolę nad urządzeniem bądź danymi na urządzeniu i żąda od użytkownika płatności lub wykonania jakiejś czynności w celu zwolnienia kontroli.

Niektóre programy typu ransomware szyfrują dane na urządzeniu i żądają płatności w zamian za ich odszyfrowanie lub wykorzystują funkcje administracyjne urządzenia, dzięki czemu typowy użytkownik nie jest w stanie ich usunąć. Przykłady:

  • Uniemożliwienie użytkownikowi dostępu do urządzenia i żądanie pieniędzy w zamian za zwrócenie kontroli.
  • Szyfrowanie danych na urządzeniu i żądanie płatności, po której rzekomo ma nastąpić odszyfrowanie.
  • Wykorzystanie funkcji menedżera zasad dotyczących urządzeń i zablokowanie użytkownikowi usunięcia treści.

Kod rozpowszechniany razem z urządzeniem, którego głównym celem jest finansowanie zarządzania urządzeniem, może być wykluczony z kategorii ransomware, jeśli spełni wymagania dotyczące bezpiecznego blokowania i zarządzania oraz odpowiedniego informowania użytkownika i uzyskiwania jego zgody.

Dostęp do roota

Dostęp do roota

Kod, który uzyskuje dostęp do roota na urządzeniu.

Istnieje różnica między nieszkodliwym a złośliwym kodem z dostępem do roota. Na przykład aplikacje z dostępem do roota powiadamiają użytkownika o zamiarze uzyskania dostępu do roota i nie wykonują innych potencjalnie szkodliwych działań, które są charakterystyczne dla innych potencjalnie szkodliwych aplikacji.

Złośliwe aplikacje z dostępem do roota nie informują użytkownika o zamiarze uzyskania takiego dostępu lub powiadamiają o tym użytkownika, ale wykonują też inne działania, które kwalifikują się do innych potencjalnie szkodliwych aplikacji.

Spam

Spam

Jest to kod, który wysyła niechciane wiadomości do kontaktów użytkownika lub wykorzystuje urządzenie jako usługę przekaźnika spamu w e-mailach.


Dostęp do roota

programy szpiegowskie,

Kod, który przesyła dane osobowe z urządzenia bez odpowiedniego powiadomienia lub zgody.

Za oprogramowanie szpiegowskie można uznać na przykład przesyłanie którychkolwiek z poniższych informacji bez ujawniania tych informacji lub w sposób, którego użytkownik się nie spodziewa:

  • Lista kontaktów
  • zdjęcia lub inne pliki z karty SD lub nienależące do aplikacji;
  • Treści z adresu e-mail użytkownika
  • Rejestr połączeń
  • Zapis SMS-ów
  • historii online lub zakładek z domyślnej przeglądarki;
  • informacje z katalogów /data/ innych aplikacji.

Działania, które mogą być uznawane za szpiegowanie użytkownika, mogą też zostać oznaczone jako programy szpiegowskie. Dotyczy to na przykład nagrywania dźwięku lub rozmów telefonicznych albo kradzież danych aplikacji.

trojański

trojański

Kod, który wydaje się niegroźny (np. gra rzekomo będąca grą), ale w rzeczywistości wykonuje niepożądane działania skierowane przeciwko użytkownikowi.

Tej klasyfikacji używa się zwykle w połączeniu z innymi kategoriami potencjalnie szkodliwych aplikacji. Trojan ma niewinny komponent i ukryty szkodliwy komponent. Może to być na przykład gra, która bez wiedzy użytkownika wysyła w tle SMS-y premium z urządzenia.

Niezbyt częste

Niezbyt częste

Nowe i rzadkie aplikacje mogą zostać uznane za nietypowe, jeśli Google Play Protect nie ma dość informacji, by zagwarantować, że są bezpieczne. Nie oznacza to, że aplikacja jest szkodliwa, ale bez dokładniejszego sprawdzenia nie można jej też uznać za bezpieczną.

maski

Maski

Aplikacja korzystająca z różnych technik obchodzenia zabezpieczeń, aby zapewniać użytkownikowi różne lub fałszywe funkcje aplikacji. Aplikacje te masują się jako legalne aplikacje lub gry na takie, które wyglądają w sklepach z aplikacjami nieszkodliwe. Korzystają one z technik takich jak zaciemnianie kodu, dynamiczne wczytywanie kodu lub maskowanie w celu ujawnienia złośliwych treści.

Maskware jest podobne do innych kategorii potencjalnie szkodliwych aplikacji, zwłaszcza trojańskich, a główną różnicą są techniki używane do maskowania złośliwej aktywności.

Niechciane oprogramowanie mobilne

Niechciane oprogramowanie to aplikacje, które nie są złośliwym oprogramowaniem, ale są szkodliwe dla jego ekosystemu. Niechciane oprogramowanie mobilne podszywa się pod inne aplikacje lub zbiera co najmniej jedno z tych danych bez zgody użytkownika:

  • Numer telefonu urządzenia
  • główny adres e-mail;
  • Informacje o zainstalowanych aplikacjach
  • Informacje o kontach w usługach innych firm

Należy go śledzić niezależnie od złośliwego oprogramowania. Listę MUwS znajdziesz tutaj.

Ostrzeżenia dotyczące Google Play Protect

Gdy Google Play Protect wykryje naruszenie zasad dotyczących złośliwego oprogramowania, użytkownik zobaczy ostrzeżenie. Ciągi ostrzegawcze dotyczące poszczególnych naruszeń są dostępne tutaj.