Nasze zasady dotyczące złośliwego oprogramowania są proste: ekosystem Androida, łącznie ze Sklepem Google Play, oraz urządzenia użytkowników powinny być wolne od złośliwych działań (wykonywanych np. przez złośliwe oprogramowanie). Kierując się tą podstawową zasadą, staramy się zapewnić użytkownikom i ich urządzeniom z Androidem bezpieczny ekosystem.
Złośliwe oprogramowanie to każdy kod, który mógłby narazić na ryzyko użytkownika, jego dane lub urządzenie. Do tego typu oprogramowania zaliczamy między innymi potencjalnie szkodliwe aplikacje, pliki binarne i modyfikacje platformy, wśród których wyróżniamy kategorie takie jak konie trojańskie, phishing czy aplikacje szpiegowskie – lista tych kategorii jest cały czas aktualizowana.
Złośliwe oprogramowanie ma różne formy i możliwości, jednak zwykle jest tworzone w jednym z tych celów:
- naruszenie integralności urządzenia użytkownika;
- przejęcie kontroli nad urządzeniem użytkownika;
- umożliwienie osobie przeprowadzającej atak podejmowania zdalnych działań mających na celu uzyskanie dostępu do zainfekowanego urządzenia, używanie go lub eksploatowanie go w jakikolwiek inny sposób;
- wysłanie z urządzenia danych osobowych lub danych logowania bez wiedzy i zgody użytkownika;
- rozsyłanie spamu lub poleceń z zainfekowanych urządzeń na inne urządzenia lub do sieci;
- oszukanie użytkownika.
Aplikacje, pliki binarne lub modyfikacje platformy mogą być szkodliwe, tzn. mogą wykazywać złośliwe zachowania, nawet jeśli nie taka była intencja ich twórców. Dzieje się tak, ponieważ aplikacje, pliki binarne i modyfikacje platformy mogą działać inaczej w zależności od różnych zmiennych. Coś, co jednemu urządzeniu z Androidem szkodzi, dla innego może nie stanowić zagrożenia. Na przykład szkodliwe aplikacje, które wykorzystują do podejmowania złośliwych zachowań wycofane interfejsy API, nie zaszkodzą urządzeniu z najnowszą wersją Androida, jednak urządzenia z jego bardzo wczesną wersją mogą być narażone na ryzyko. Aplikacje, pliki binarne i modyfikacje platformy są oznaczane jako złośliwe oprogramowanie lub potencjalnie szkodliwe aplikacje, jeśli stwarzają wyraźne ryzyko dla niektórych lub wszystkich urządzeń z Androidem i ich użytkowników.
Poniższe kategorie złośliwego oprogramowania opracowaliśmy zgodnie z naszym głębokim przekonaniem, że użytkownicy powinni rozumieć, w jaki sposób ich urządzenia są wykorzystywane. Ułatwiają nam one tworzenie bezpiecznego ekosystemu, w którym możliwe jest wprowadzanie zdecydowanych innowacji i budowanie zaufania użytkowników.
Kategorie złośliwego oprogramowania
Backdoor
Jest to kod, który umożliwia przeprowadzenie na urządzeniu niechcianych, potencjalnie szkodliwych, kontrolowanych zdalnie operacji.
Mogą to być działania, których automatyczne wykonanie powodowałoby zaliczenie aplikacji, pliku binarnego lub modyfikacji platformy do jednej z kategorii złośliwego oprogramowania. Ogólnie rzecz biorąc, określenie „backdoor” odnosi się do tego, w jaki sposób na urządzeniu może dojść do potencjalnie szkodliwych działań, dlatego nie można go do końca zakwalifikować do takich kategorii jak oszustwa związane z płatnościami czy komercyjne programy szpiegowskie. Z tego względu podkategoria programów tego typu jest czasem traktowana przez Google Play Protect jak luka w zabezpieczeniach.
oszukańcze płatności,
Jest to kod, który wprowadza użytkownika w błąd i powoduje automatyczne naliczanie opłat.
Wśród oszukańczych płatności mobilnych wyróżniamy oszukańcze SMS-y, połączenia i abonamenty.
oszukańcze SMS-y,
Jest to kod, który powoduje naliczanie dodatkowych opłat za wysyłanie specjalnych SMS-ów bez pytania użytkownika o zgodę lub próbuje zamaskować aktywność związaną z obsługą wiadomości SMS przez ukrywanie umów albo powiadomień od operatora informujących użytkownika o pobieraniu opłat lub potwierdzających rozpoczęcie subskrypcji.
Czasami kod, technicznie rzecz biorąc, nie ukrywa wysyłania SMS-ów, ale wprowadza dodatkowe zachowania umożliwiające oszustwo. Przykłady obejmują ukrywanie fragmentów umowy przed użytkownikiem i blokowanie powiadomień SMS od operatora sieci komórkowej, które informują użytkownika o naliczaniu opłat lub rozpoczęciu subskrypcji.
oszukańcze połączenia,
Jest to kod, który powoduje naliczanie dodatkowych opłat za specjalne połączenia telefoniczne bez uzyskania zgody użytkownika.
oszustwa związane z abonamentami,
Jest to kod, który wprowadza użytkownika w błąd i powoduje dokonywanie niezamierzonych zakupów (w tym subskrypcji) przy użyciu rozliczeń przez operatora.
Takie oszustwa obejmują dowolny rodzaj opłat poza specjalnymi SMS-ami i połączeniami. Mogą to być płatności bezpośrednio u operatora, jak również opłaty za korzystanie z bezprzewodowych punktów dostępu czy transmisję danych. Najczęściej stosowane są opłaty za bezprzewodowe punkty dostępu. Użytkownik jest zwykle nakłaniany, by kliknął przycisk na dyskretnie wczytanym, przezroczystym komponencie WebView. Po wykonaniu takiej czynności rozpoczyna się uruchomienie cyklicznie odnawianej subskrypcji, a potwierdzający to SMS lub e-mail jest często przechwytywany, by użytkownik nie zauważył transakcji.
Stalkerware
Kod, który zbiera z urządzenia prywatne lub wrażliwe dane użytkownika i przesyła je osobom trzecim (firmom lub innym osobom) na potrzeby monitorowania.
Aplikacje muszą zawierać odpowiednie, dobrze widoczne informacje oraz uzyskać zgodę użytkowników. Opisaliśmy to w zasadach dotyczących danych użytkownika.
Jedynymi dozwolonymi aplikacjami do monitorowania są te stworzone z myślą o monitorowaniu innych osób, np. do monitorowania dzieci przez rodziców, lub do zarządzania przedsiębiorstwem, np. do monitorowania poszczególnych pracowników, pod warunkiem że spełniają one wszystkie wymagania opisane w dalszej części tego dokumentu. Nie mogą być one używane do śledzenia nikogo innego (np. współmałżonka), nawet za zgodą i wiedzą tej osoby oraz nawet przy wyświetlanym stałym powiadomieniu. Te aplikacje muszą wykorzystywać w pliku manifestu flagę metadanych IsMonitoringTool, aby prawidłowo oznaczać się jako aplikacje monitorujące.
Aplikacje monitorujące muszą spełniać te wymagania:
- Aplikacje nie mogą prezentować się jako rozwiązania służące do szpiegowania lub podglądania.
- Aplikacje nie mogą ukrywać ani maskować monitorowania ani próbować wprowadzać użytkowników w błąd co do działania takich funkcji.
- Aplikacje muszą wyświetlać użytkownikom stałe powiadomienie przez cały czas działania oraz unikalną ikonę jasno określającą aplikację.
- Aplikacje muszą ujawniać funkcję monitorowania lub śledzenia w opisie w Sklepie Google Play.
- Aplikacje i informacje o aplikacjach w Google Play nie mogą w żaden sposób umożliwiać aktywowania ani użycia funkcji, które naruszają nasze warunki, np. nie mogą zawierać linków do niezgodnego pakietu APK spoza Google Play.
- Aplikacje muszą być zgodne z obowiązującymi przepisami prawa. Ponosisz pełną odpowiedzialność za to, aby Twoja aplikacja była zgodna z przepisami docelowego kraju lub regionu.
Więcej informacji znajdziesz w artykule Korzystanie z flagi isMonitoringTool w Centrum pomocy.
Atak typu DoS
Jest to kod, który bez wiedzy użytkownika wykonuje atak typu DoS lub jest częścią rozproszonego ataku typu DoS kierowanego na inne systemy i zasoby.
Może to np. polegać na masowym wysyłaniu żądań HTTP w celu wygenerowania nadmiernego obciążenia zdalnych serwerów.
Szkodliwe programy pobierające
Jest to kod, który sam w sobie nie jest groźny, ale pobiera inne potencjalnie szkodliwe aplikacje.
Kod może być uznany za służący do pobierania szkodliwych elementów w tych przypadkach:
- Istnieje podejrzenie, że kod został utworzony do pobierania potencjalnie szkodliwych aplikacji, pobrał takie aplikacje lub zawiera kod, który może pobierać i instalować aplikacje.
- Co najmniej 5% aplikacji pobranych przez ten kod to potencjalnie szkodliwe aplikacje. Minimalny próg wyliczeń to 500 zarejestrowanych pobrań aplikacji (25 zarejestrowanych pobrań potencjalnie szkodliwych aplikacji).
Główne przeglądarki i aplikacje do udostępniania plików nie są uznawane za szkodliwe programy pobierające, jeśli spełniają te warunki:
- Nie pobierają one plików bez interakcji użytkownika.
- Wszystkie pobrania potencjalnie szkodliwych aplikacji są uruchomione przez użytkowników wyrażających na to zgodę.
Zagrożenie, które nie obejmuje Androida
Jest to kod zawierający zagrożenia, które nie dotyczą Androida.
Takie aplikacje nie są zagrożeniem dla użytkownika urządzenia z Androidem ani samego urządzenia z tym systemem, ale zawierają komponenty, które mogą być szkodliwe na innych platformach.
Phishing
Jest to kod, który stwarza pozory, że pochodzi z zaufanego źródła, żądający od użytkownika danych uwierzytelniających lub informacji rozliczeniowych w celu wysłania ich do osoby trzeciej. Ta kategoria obejmuje również kod, który przechwytuje dane logowania użytkownika podczas ich przesyłania.
Częstym celem ataków phishingowych są dane logowania do banku, numery kart kredytowych i dane logowania na konta internetowe w sieciach społecznościowych lub grach.
Nadużywanie podwyższonych uprawnień
Jest to kod, który narusza integralność systemu przez uszkodzenie piaskownicy aplikacji, zdobycie podwyższonych uprawnień albo zmianę lub wyłączenie dostępu do podstawowych funkcji związanych z bezpieczeństwem.
Przykłady:
- Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
- Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
- Aplikacja, która wyłącza SELinux.
Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.
ransomware,
Jest to kod, który częściowo lub w znacznym stopniu przejmuje kontrolę nad urządzeniem bądź danymi na urządzeniu i żąda od użytkownika płatności lub wykonania jakiejś czynności w zamian za zwrócenie kontroli.
Niektóre programy typu ransomware szyfrują dane na urządzeniu i żądają płatności w zamian za ich odszyfrowanie lub wykorzystują funkcje administracyjne urządzenia, by typowy użytkownik nie był w stanie ich usunąć. Przykłady:
- Uniemożliwienie użytkownikowi dostępu do urządzenia i żądanie pieniędzy w zamian za zwrócenie kontroli.
- Szyfrowanie danych na urządzeniu i żądanie zapłaty, po której rzekomo ma nastąpić odszyfrowanie.
- Wykorzystywanie funkcji menedżera zasad urządzenia w celu uniemożliwienia użytkownikowi usunięcia aplikacji.
Kod rozpowszechniany razem z urządzeniem, którego głównym celem jest finansowanie zarządzania urządzeniem, może być wykluczony z kategorii ransomware, jeśli spełni wymagania dotyczące bezpiecznego blokowania urządzenia i zarządzania nim oraz odpowiedniego informowania użytkownika i uzyskiwania jego zgody.
Rootowanie
Jest to kod, który uzyskuje dostęp do roota na urządzeniu.
Kod umożliwiający dostęp do roota może być nieszkodliwy lub szkodliwy. Aplikacje z dostępem do roota powiadamiają użytkownika o zamiarze uzyskania dostępu do roota – nie wykonują groźnych działań, które są charakterystyczne dla innych potencjalnie szkodliwych aplikacji.
Złośliwe aplikacje z dostępem do roota nie informują użytkownika o zamiarze uzyskania takiego dostępu albo powiadamiają o tym użytkownika, ale wykonują też inne działania, które kwalifikują je jako potencjalnie szkodliwe.
Spam
Jest to kod, który wysyła niechciane wiadomości do kontaktów użytkownika lub wykorzystuje urządzenie jako narzędzie do wysyłania spamerskich e-maili.
programy szpiegowskie,
Program szpiegowski to szkodliwa aplikacja, kod lub działanie, które gromadzi, pozyskuje lub udostępnia dane urządzenia lub użytkownika w sposób niezgodny z zasadami.
Szkodliwy kod lub działania, które mogą uchodzić za szpiegowanie użytkownika lub pozyskiwanie danych bez odpowiedniego powiadomienia lub zgody, też mogą zostać uznane za programy szpiegowskie.
Przykłady naruszeń uznawanych za programy szpiegowskie to między innymi:
- nagrywanie dźwięku lub rozmów odbieranych na telefonie,
- wykradanie danych aplikacji,
- aplikacje używające szkodliwego kodu zewnętrznego (np. pakietu SDK) przesyłającego dane z urządzenia w sposób, którego użytkownik się nie spodziewa, lub bez odpowiedniego powiadomienia lub zgody.
Koń trojański
Jest to kod, który stwarza wrażenie niegroźnego (np. gra rzekomo będąca zwykłą grą), ale w rzeczywistości wykonuje niepożądane działania skierowane przeciwko użytkownikowi.
Tej klasyfikacji używa się zwykle w połączeniu z innymi kategoriami potencjalnie szkodliwych aplikacji. Koń trojański zawiera element nieszkodliwy oraz ukryty komponent szkodliwy. Może to być na przykład gra, która bez wiedzy użytkownika wysyła w tle specjalne SMS-y z urządzenia.
Uwaga na temat nietypowych aplikacji
Nowe lub rzadkie aplikacje mogą zostać uznane za nietypowe, jeśli Google Play Protect nie ma dość informacji, by zagwarantować, że są bezpieczne. Nie znaczy to, że aplikacja jest na pewno szkodliwa, jednak bez dalszej weryfikacji nie można tego wykluczyć.
Oprogramowanie ryzykowne
Aplikacja, która stosuje różnego rodzaju techniki obchodzenia zabezpieczeń, aby prezentować użytkownikom inne (fałszywe) funkcje. Tego typu aplikacje lub gry dostępne w sklepach tylko z pozoru wydają się autentyczne, a w rzeczywistości wykorzystują techniki takie jak maskowanie, zaciemnianie lub dynamiczne wczytywanie kodu, aby ukryć potencjalnie szkodliwe treści.
Programy typu riskware przypominają inne potencjalnie szkodliwe aplikacje, zwłaszcza trojany. Główną różnicą są tu techniki stosowane do zamaskowania szkodliwego działania.
Niechciane oprogramowanie mobilne
Google definiuje niechciane oprogramowanie jako aplikacje, które nie są złośliwym oprogramowaniem, ale szkodzą ekosystemowi oprogramowania. Niechciane oprogramowanie mobilne podszywa się pod inne aplikacje lub bez zgody użytkownika zbiera co najmniej 1 z tych elementów:
- Numer telefonu urządzenia
- główny adres e-mail;
- Informacje o zainstalowanych aplikacjach
- Informacje o kontach zewnętrznych
MUwS jest śledzone oddzielnie od złośliwego oprogramowania. Kategorie MUwS możesz sprawdzić tutaj.
Ostrzeżenia Google Play Protect
Gdy Google Play Protect wykryje naruszenie zasad dotyczących złośliwego oprogramowania, użytkownikowi wyświetli się ostrzeżenie. Ciągi ostrzegawcze dotyczące każdego naruszenia są dostępne tutaj.