멀웨어 카테고리

Google의 멀웨어 정책은 단순합니다. Google Play 스토어를 포함한 Android 생태계와 사용자 기기에는 악의적 행위 (예: 멀웨어)가 없어야 합니다. 이러한 기본 원칙을 통해 Google은 사용자와 Android 기기에 안전한 Android 생태계를 제공하기 위해 노력하고 있습니다.

멀웨어란 사용자, 사용자 데이터 또는 기기를 위험에 노출할 수 있는 모든 코드를 의미합니다. 멀웨어는 잠재적으로 위험한 애플리케이션(PHA), 바이너리 또는 프레임워크 수정을 포함하되 이에 국한되지 않으며 트로이 목마, 피싱, 스파이웨어 앱과 같은 카테고리로 구성되며 계속해서 새로운 카테고리를 업데이트 및 추가하고 있습니다.

유형과 기능은 다양하지만 멀웨어의 목표는 보통 다음 중 하나입니다.

  • 사용자 기기의 무결성을 저해합니다.
  • 사용자 기기를 제어합니다.
  • 공격자가 원격 제어 작업을 통해 감염된 기기에 액세스하거나 기기를 사용하거나 다른 방식으로 악용할 수 있도록 합니다.
  • 적절한 공개 및 동의 없이 개인 정보 또는 사용자 인증 정보를 기기 밖으로 전송합니다.
  • 감염된 기기에서 스팸이나 명령어를 배포하여 다른 기기나 네트워크에 영향을 미칩니다.
  • 사용자를 대상으로 사기를 저지릅니다.

앱, 바이너리 또는 프레임워크 수정은 잠재적으로 유해할 수 있으므로 해를 끼치려고 하지 않았더라도 악의적인 동작을 유발할 수 있습니다. 앱, 바이너리 또는 프레임워크 수정이 다양한 변수에 따라 다르게 작동할 수 있기 때문입니다. 따라서 하나의 Android 기기에 유해한 것이 다른 Android 기기에는 전혀 위험을 초래하지 않을 수 있습니다. 예를 들어 최신 버전의 Android를 실행하는 기기는 지원 중단된 API를 사용하여 악의적인 동작을 실행하는 유해한 앱의 영향을 받지 않지만, 여전히 초기 버전의 Android를 실행하는 기기는 위험할 수 있습니다. 앱, 바이너리 또는 프레임워크 수정은 일부 또는 모든 Android 기기 및 사용자에게 위험을 초래하는 것이 분명한 경우 멀웨어 또는 PHA로 신고됩니다.

아래의 멀웨어 카테고리는 사용자가 기기가 어떻게 활용되는지 이해하고 강력한 혁신과 신뢰할 수 있는 사용자 환경을 지원하는 안전한 생태계를 촉진해야 한다는 Google의 기본적인 신념을 반영합니다.

멀웨어 카테고리

백도어

백도어

잠재적으로 유해하고 원격으로 제어되며 원치 않는 작업을 기기에서 실행하도록 허용하는 코드입니다.

이러한 작업에는 자동으로 실행될 경우 앱, 바이너리 또는 프레임워크 수정을 다른 멀웨어 카테고리 중 하나에 배치하는 동작이 포함될 수 있습니다. 일반적으로 백도어는 잠재적으로 위험한 작업이 기기에서 어떻게 발생할 수 있는지에 관한 설명이므로 결제 사기나 상용 스파이웨어와 같은 카테고리와 완전히 일치하지는 않습니다. 따라서 일부 상황에서는 백도어의 하위 집합이 Google Play 프로텍트에서 취약점으로 취급됩니다.

결제 사기

결제 사기

의도적으로 사용자를 속여 자동으로 사용자에게 청구하는 코드입니다.

모바일 결제 사기는 SMS 사기, 전화 사기, 과금 사기로 나뉩니다.

SMS 사기

동의 없이 사용자에게 프리미엄 SMS 전송 요금을 청구하거나 공개 계약 또는 이동통신사의 SMS 메시지를 숨겨 사용자에게 요금을 알리거나 정기 결제를 확인하는 방식으로 SMS 활동을 위장하려고 시도하는 코드입니다.

일부 코드는 기술적으로 SMS 전송 동작을 공개하더라도 SMS 사기를 수용하는 추가 동작을 도입합니다. 공개 계약의 일부를 사용자에게 숨기거나 읽을 수 없게 만들거나, 사용자에게 요금 부과를 알리거나 정기 결제를 확인하는 이동통신사의 SMS 메시지를 조건부로 중지하는 것을 예로 들 수 있습니다.

전화 사기

사용자 동의 없이 프리미엄 번호로 전화를 걸어 사용자에게 요금을 청구하는 코드입니다.

전화 사기

휴대전화 청구를 통해 콘텐츠를 구독하거나 구매하도록 사용자를 속이는 코드입니다.

과금 사기에는 프리미엄 SMS와 프리미엄 통화를 제외한 모든 유형의 청구가 포함됩니다. 이러한 예로는 이동통신사 직접 결제, 무선 애플리케이션 프로토콜 (WAP), 모바일 통화 시간 전송이 있습니다. WAP 사기는 요금 사기의 가장 일반적인 유형 중 하나입니다. WAP 사기에는 자동으로 로드되는 투명한 WebView에서 버튼을 클릭하도록 사용자를 속이는 행위가 포함될 수 있습니다. 작업을 실행하면 반복 정기 결제가 시작되며, 사용자가 금융 거래를 알아차리지 못하도록 확인 SMS나 이메일이 도용되는 경우가 많습니다.

스토커웨어

스토커웨어 (상용 스파이웨어)

적절한 고지 또는 동의 없이 기기에서 개인 정보 또는 민감한 사용자 데이터를 수집 또는 전송하며 이러한 작업이 실행된다는 지속적인 알림을 표시하지 않는 코드

스토커웨어 앱은 개인 정보 또는 민감한 사용자 데이터를 모니터링하고 이 데이터를 전송하거나 서드 파티가 액세스할 수 있도록 하여 기기 사용자를 타겟팅합니다.

자녀 또는 기업 관리 추적용으로만 부모용으로 설계 및 마케팅되는 앱이 감시 앱으로 허용되려면 아래 설명된 요구사항을 모두 준수해야 합니다. 이러한 앱은 모니터링 대상자(예: 배우자)가 모니터링 사실을 인지하고 허가했더라도 지속적인 알림 표시 여부와 관계없이 타인을 추적하는 데 사용할 수 없습니다.

서비스 거부(Denial of service)

서비스 거부 (DoS)

사용자가 모르게 서비스 거부(DoS) 공격을 실행하거나 다른 시스템과 리소스에 대한 분산형 DoS 공격의 일부인 코드

예를 들어 대량의 HTTP 요청을 전송하여 원격 서버에 과도한 부하를 유발하는 방법으로 발생할 수 있습니다.

적대적인 다운로더

적대적인 다운로더

그 자체가 잠재적으로 유해하지는 않지만 다른 PHA를 다운로드하는 코드

다음과 같은 경우 코드가 적대적인 다운로더일 수 있습니다.

  • PHA를 퍼뜨리기 위해 만들어졌다고 믿을 만한 근거가 있으며, PHA를 다운로드했거나 앱을 다운로드하고 설치할 수 있는 코드가 포함된 경우
  • 확인된 앱 다운로드 최소 기준이 500회인 관찰된 앱 다운로드 25건 (관찰된 PHA 다운로드 25개)에서 다운로드된 앱의 5% 이상이 PHA입니다.

주요 브라우저와 파일 공유 앱은 다음과 같은 경우 적대적 다운로더로 간주되지 않습니다.

  • 사용자 상호작용 없이 다운로드를 유도하지 않습니다.
  • 모든 PHA 다운로드가 사용자의 동의에 따라 시작됩니다.
Android 이외의 위협

Android 이외의 위협

Android 이외의 위협이 포함된 코드

이러한 앱은 Android 사용자나 기기에 해를 입힐 수는 없지만 다른 플랫폼에 유해할 수 있는 구성요소를 포함하고 있습니다.

피싱

피싱

신뢰할 수 있는 소스에서 가져온 것으로 위장하고 사용자의 인증 정보 또는 결제 정보를 요청하며 데이터를 서드 파티에 전송하는 코드 이 카테고리는 이동 중인 사용자 인증 정보의 전송을 가로채는 코드에도 적용됩니다.

피싱의 일반적인 대상으로는 뱅킹 사용자 인증 정보, 신용카드 번호, 소셜 네트워크 및 게임의 온라인 계정 사용자 인증 정보가 있습니다.

권한 에스컬레이션

승격된 권한 악용

앱 샌드박스를 깨거나 승격된 권한을 취득하거나 보안 관련 핵심 기능의 액세스 권한을 변경 또는 중지하여 시스템의 무결성을 손상시키는 코드입니다.

예를 들면 다음과 같습니다.

  • 앱이 Android 권한 모델을 위반하거나 다른 앱에서 OAuth 토큰과 같은 사용자 인증 정보를 탈취합니다.
  • 앱이 제거 또는 중단되지 않도록 기능을 악용합니다.
  • 앱이 SELinux를 사용 중지합니다.

사용자 권한 없이 기기를 루팅하는 권한 에스컬레이션 앱은 루팅 앱으로 분류됩니다.

랜섬웨어

랜섬웨어

기기 또는 기기의 데이터를 부분적으로 또는 포괄적으로 제어하고, 사용자에게 제어를 해제하기 위해 비용을 지불하거나 작업을 실행하도록 요구하는 코드입니다.

일부 랜섬웨어는 기기의 데이터를 암호화한 후 데이터를 복호화하거나 일반적인 사용자가 삭제할 수 없도록 기기 관리자 기능을 활용하기 위한 대가를 요구합니다. 예를 들면 다음과 같습니다.

  • 사용자의 기기 잠금을 해제하여 사용자 제어를 복원하기 위해 금전을 요구
  • 기기의 데이터를 암호화하고 표면적으로는 데이터 복호화를 위해 결제를 요구합니다.
  • 기기 정책 관리자 기능을 활용하고 사용자의 삭제를 차단합니다.

기기 관리 보조를 주된 목적으로 하는 기기를 통해 배포된 코드는 보안 잠금 및 관리 요구사항과 적절한 사용자 공개 및 동의 요구사항을 충족하는 경우 랜섬웨어 카테고리에서 제외될 수 있습니다.

루팅

루팅

기기를 루팅하는 코드입니다.

비악성 루팅 코드와 악성 루팅 코드는 서로 다릅니다. 예를 들어 루팅 앱은 기기를 루팅할 예정임을 사용자에게 미리 알려주며, 다른 PHA 카테고리에 적용되는 잠재적으로 위험한 작업은 실행하지 않습니다.

악성 루팅 앱은 사용자에게 기기를 루팅한다는 사실을 알리지 않거나, 사용자에게 루팅에 관해 미리 알리지만 다른 PHA 카테고리에 적용되는 다른 작업도 실행합니다.

스팸

스팸

사용자의 연락처로 요청하지 않은 메시지를 전송하거나 기기를 이메일 스팸 릴레이로 사용하는 코드입니다.


루팅

스파이웨어

적절한 고지 또는 동의 없이 기기 외부로 개인 정보를 전송하는 코드입니다.

예를 들어 다음 정보 중 하나를 공개하지 않거나 사용자가 예상치 못한 방식으로 전송하면 스파이웨어로 간주되기에 충분합니다.

  • 연락처 목록
  • SD 카드에 있거나 앱에서 소유하지 않은 사진 또는 기타 파일
  • 사용자 이메일의 내용
  • 통화 기록
  • SMS 기록
  • 기본 브라우저의 웹 기록 또는 브라우저 북마크
  • 다른 앱의 /data/ 디렉터리에 있는 정보

사용자를 감시하는 것으로 간주될 수 있는 동작도 스파이웨어로 신고될 수 있습니다. 예를 들어 오디오 녹음 또는 전화에서 이루어지는 통화 녹음 또는 앱 데이터 도난

트로이 목마

트로이 목마

게임이라고만 주장하지만 사용자에게 바람직하지 않은 작업을 실행하는 게임과 같이 무해한 것처럼 보이는 코드입니다.

이 분류는 일반적으로 다른 PHA 카테고리와 함께 사용됩니다. 트로이 목마에는 무해한 구성요소와 숨겨진 유해 구성요소가 있습니다. 사용자가 모르게 백그라운드에서 사용자 기기의 프리미엄 SMS 메시지를 전송하는 게임을 예로 들 수 있습니다.

드물게

드물게

Google Play 프로텍트에 앱이 안전하다고 판단할 만큼 정보가 충분하지 않으면 신규 및 희귀 앱은 일반적이지 않은 앱으로 분류될 수 있습니다. 그렇다고 해서 앱이 반드시 유해하다는 의미는 아니지만, 추가 검토를 거치지 않으면 안전한 앱인지 확인할 수 없습니다.

마스크웨어

마스크웨어

사용자에게 서로 다른 또는 가짜 애플리케이션 기능을 제공하기 위해 다양한 회피 기법을 활용하는 애플리케이션. 이러한 앱은 앱 스토어에 무해한 것처럼 보이기 위해 합법적인 애플리케이션 또는 게임으로 마스킹하고 악성 콘텐츠를 표시하기 위해 난독화, 동적 코드 로드 또는 클로킹과 같은 기법을 사용합니다.

마스크웨어는 다른 PHA 카테고리, 특히 트로이 목마와 유사하지만 주요 차이점은 악의적인 활동을 난독화하는 데 사용되는 기법입니다.

원치 않는 모바일 소프트웨어 (MUwS)

Google에서는 원치 않는 소프트웨어 (UwS)를 전적으로 멀웨어는 아니지만 소프트웨어 생태계에 유해한 앱으로 정의합니다. 원치 않는 모바일 소프트웨어 (MUwS)는 사용자의 동의 없이 다른 앱의 명의를 도용하거나 다음 중 하나 이상을 수집합니다.

  • 기기 전화번호
  • 기본 이메일 주소
  • 설치된 앱 정보
  • 서드 파티 계정에 관한 정보

MUwS는 멀웨어와 별도로 추적됩니다. MUwS 카테고리는 여기에서 확인할 수 있습니다.

Google Play 프로텍트 경고

Google Play 프로텍트가 멀웨어 정책 위반을 감지하면 사용자에게 경고가 표시됩니다. 각 위반에 대한 경고 문자열은 여기에서 확인할 수 있습니다.