Наша политика в отношении вредоносного ПО проста: экосистема Android, включая Google Play Маркет, и пользовательские устройства должны быть свободны от вредоносного ПО (например, вредоносных программ). Следуя этому основополагающему принципу, мы стремимся обеспечить безопасную экосистему Android для наших пользователей и их устройств.
Вредоносное ПО — это любой код, который может подвергнуть риску пользователя, его данные или устройство. Вредоносное ПО включает, помимо прочего, потенциально вредоносные приложения (PHA), двоичные файлы или модификации фреймворка, включающие такие категории, как трояны, фишинговые и шпионские приложения. Мы постоянно обновляем и добавляем новые категории.
Несмотря на разнообразие типов и возможностей, вредоносные программы обычно преследуют одну из следующих целей:
- Нарушить целостность устройства пользователя.
- Получите контроль над устройством пользователя.
- Обеспечить злоумышленнику возможность удаленного управления операциями по доступу, использованию или иному использованию зараженного устройства.
- Передавать персональные данные или учетные данные с устройства без соответствующего раскрытия и согласия.
- Распространять спам или команды с зараженного устройства для воздействия на другие устройства или сети.
- Обманывать пользователя.
Модификация приложения, двоичного файла или фреймворка может быть потенциально вредоносной и, следовательно, может генерировать вредоносное поведение, даже если она не была намеренно вредоносной. Это связано с тем, что приложения, двоичные файлы или модификации фреймворка могут функционировать по-разному в зависимости от множества факторов. Следовательно, то, что вредно для одного устройства Android, может совершенно не представлять риска для другого. Например, устройство под управлением последней версии Android не подвержено влиянию вредоносных приложений, использующих устаревшие API для выполнения вредоносных действий, но устройство под управлением очень ранней версии Android может быть подвержено риску. Приложения, двоичные файлы или модификации фреймворка помечаются как вредоносное ПО или потенциально вредоносный программный код, если они явно представляют риск для некоторых или всех устройств Android и пользователей.
Категории вредоносных программ, перечисленные ниже, отражают наше основополагающее убеждение в том, что пользователи должны понимать, как используется их устройство, и способствовать созданию безопасной экосистемы, которая обеспечивает надежные инновации и надежный пользовательский интерфейс.
Категории вредоносных программ
Бэкдоры
Код, позволяющий выполнять нежелательные, потенциально опасные, дистанционно управляемые операции на устройстве.
Эти операции могут включать поведение, которое при автоматическом выполнении отнесло бы модификацию приложения, исполняемого файла или фреймворка к одной из других категорий вредоносного ПО. В целом, бэкдор — это описание того, как потенциально опасная операция может быть выполнена на устройстве, и поэтому не полностью соответствует таким категориям, как мошенничество с платежами или коммерческое шпионское ПО. В результате, некоторые бэкдоры при некоторых обстоятельствах рассматриваются Google Play Protect как уязвимость.
Мошенничество с выставлением счетов
Код, который автоматически взимает с пользователя плату намеренно обманным путем.
Мошенничество с мобильными счетами подразделяется на мошенничество с использованием SMS, мошенничество со звонками и мошенничество с использованием платных телефонных соединений.
мошенничество с СМС
Код, который взимает с пользователей плату за отправку платных SMS без согласия или пытается скрыть свою деятельность, связанную с SMS, скрывая соглашения о раскрытии информации или SMS-сообщения от оператора мобильной связи, уведомляющие пользователя о платежах или подтверждающие подписку.
Некоторые коды, хотя и раскрывают поведение отправителей SMS, вводят дополнительные функции, способствующие SMS-мошенничеству. Например, они скрывают от пользователя части соглашения о раскрытии информации, делают их нечитаемыми и условно блокируют отправку SMS от мобильного оператора, информирующего пользователя о списании средств или подтверждающего подписку.
Мошенничество с вызовами
Код, который взимает с пользователей плату за совершение звонков на платные номера без их согласия.
Мошенничество с оплатой проезда
Код, который обманным путем заставляет пользователей подписываться на контент или приобретать его с помощью счета за мобильный телефон.
Мошенничество с платными телефонными звонками включает в себя любые виды биллинга, за исключением платных SMS и платных звонков. Примерами могут служить прямая оплата через оператора, протокол беспроводных приложений (WAP) и перевод мобильного эфирного времени. WAP-мошенничество — один из наиболее распространённых видов мошенничества с платными телефонными звонками. WAP-мошенничество может включать в себя обман пользователей, побуждая их нажать кнопку на незаметно загружаемом прозрачном веб-приложении WebView. После выполнения действия инициируется повторяющаяся подписка, а подтверждающее SMS или электронное письмо часто перехватываются, чтобы скрыть от пользователей финансовую транзакцию.
Сталкерное ПО
Код, который собирает персональные или конфиденциальные данные пользователя с устройства и передает эти данные третьей стороне (предприятию или другому лицу) для целей мониторинга.
Приложения должны обеспечивать достаточное и заметное раскрытие информации и получать согласие, как того требует Политика в отношении пользовательских данных.
Приложения, разработанные и предлагаемые исключительно для мониторинга другого человека, например, родителями для мониторинга своих детей или руководством предприятия для мониторинга отдельных сотрудников, при условии их полного соответствия требованиям, описанным далее в настоящем документе, являются единственными приемлемыми приложениями для мониторинга. Эти приложения не могут использоваться для отслеживания кого-либо другого (например, супруга/супруги) даже с его ведома и разрешения, даже если отображается постоянное уведомление. Такие приложения должны использовать флаг метаданных IsMonitoringTool в файле манифеста, чтобы надлежащим образом обозначить себя как приложения для мониторинга.
Приложения для мониторинга должны соответствовать следующим требованиям:
- Приложения не должны представлять собой решения для шпионажа или тайного наблюдения.
- Приложения не должны скрывать или маскировать отслеживаемое поведение или пытаться вводить пользователей в заблуждение относительно таких функций.
- Приложения должны предоставлять пользователям постоянное уведомление в течение всего времени работы приложения, а также уникальный значок, который четко идентифицирует приложение.
- Приложения должны раскрывать функциональность мониторинга или отслеживания в описании магазина Google Play.
- Приложения и листинги приложений в Google Play не должны предоставлять никаких средств для активации или доступа к функциям, нарушающим настоящие условия, например, ссылки на несоответствующие APK-файлы, размещенные за пределами Google Play.
- Приложения должны соответствовать всем действующим законам. Вы несёте исключительную ответственность за определение законности вашего приложения в целевом регионе.
Более подробную информацию см. в статье справочного центра «Использование флага isMonitoringTool» .
Отказ в обслуживании (DoS)
Код, который без ведома пользователя выполняет атаку типа «отказ в обслуживании» (DoS) или является частью распределенной атаки DoS против других систем и ресурсов.
Например, это может произойти при отправке большого количества HTTP-запросов, что приведет к чрезмерной нагрузке на удаленные серверы.
Враждебные загрузчики
Код, который сам по себе не является потенциально опасным, но загружает другие PHA.
Код может быть вредоносным загрузчиком, если:
- Есть основания полагать, что он был создан для распространения потенциально вредоносных программ и загрузил потенциально вредоносные программы или содержит код, который может загружать и устанавливать приложения; или
- По крайней мере 5% загружаемых им приложений являются потенциально вредоносными программами с минимальным порогом в 500 наблюдаемых загрузок приложений (25 наблюдаемых загрузок потенциально вредоносных программ).
Основные браузеры и приложения для обмена файлами не считаются враждебными загрузчиками, если:
- Они не стимулируют загрузки без взаимодействия с пользователем; и
- Все загрузки PHA инициируются согласившимися пользователями.
Угроза, не связанная с Android
Код, содержащий угрозы, не свойственные Android.
Эти приложения не могут причинить вред пользователю или устройству Android, но содержат компоненты, которые потенциально опасны для других платформ.
Фишинг
Код, выдающий себя за достоверный источник, запрашивает учётные данные пользователя или платёжную информацию и отправляет эти данные третьей стороне. К этой категории также относится код, перехватывающий передачу учётных данных пользователя.
Чаще всего целями фишинга становятся банковские учетные данные, номера кредитных карт, а также данные учетных записей в социальных сетях и играх.
Злоупотребление повышенными привилегиями
Код, который нарушает целостность системы, нарушая изолированную программную среду приложения, получая повышенные привилегии или изменяя или отключая доступ к основным функциям, связанным с безопасностью.
Вот несколько примеров:
- Приложение, которое нарушает модель разрешений Android или крадет учетные данные (например, токены OAuth) из других приложений.
- Приложения, которые злоупотребляют функциями, чтобы предотвратить их удаление или остановку.
- Приложение, отключающее SELinux.
Приложения для повышения привилегий, которые выполняют рутирование устройств без разрешения пользователя, классифицируются как рутинговые приложения.
Программы-вымогатели
Код, который получает частичный или полный контроль над устройством или данными на устройстве и требует, чтобы пользователь совершил платеж или выполнил действие для освобождения контроля.
Некоторые программы-вымогатели шифруют данные на устройстве и требуют плату за расшифровку и/или используют функции администратора устройства, чтобы обычный пользователь не мог их удалить. Примеры:
- Блокировка пользователя от его устройства и требование денег за восстановление контроля со стороны пользователя.
- Шифрование данных на устройстве и требование оплаты якобы за расшифровку данных.
- Использование функций диспетчера политик устройства и блокировка удаления пользователем.
Код, распространяемый вместе с устройством, основным назначением которого является субсидируемое управление устройством, может быть исключен из категории программ-вымогателей при условии, что он успешно соответствует требованиям к безопасной блокировке и управлению, а также требованиям к раскрытию информации и согласию пользователя.
Укоренение
Код, который рутирует устройство.
Существует разница между невредоносным и вредоносным рут-кодом. Например, рут-приложения заранее сообщают пользователю о намерении получить рут-доступ к устройству и не выполняют другие потенциально опасные действия, относящиеся к другим категориям потенциально вредоносных вредоносных программ (PHA).
Вредоносные приложения для получения прав root не информируют пользователя о том, что они собираются получить права root на устройстве, или информируют пользователя о получении прав root заранее, но также выполняют другие действия, которые относятся к другим категориям PHA.
Спам
Код, который отправляет нежелательные сообщения контактам пользователя или использует устройство для ретрансляции спама по электронной почте.
Шпионское ПО
Шпионское ПО — это вредоносное приложение, код или поведение, которое собирает, извлекает или передает данные пользователя или устройства, не связанные с функциями, соответствующими политике.
Вредоносный код или поведение, которые можно рассматривать как шпионаж за пользователем или кража данных без соответствующего уведомления или согласия, также считаются шпионским ПО.
Например, нарушения, связанные со шпионским ПО, включают в себя, помимо прочего:
- Запись аудио или запись звонков на телефон
- Кража данных приложения
- Приложение с вредоносным сторонним кодом (например, SDK), которое передает данные с устройства неожиданным для пользователя способом и/или без соответствующего уведомления или согласия пользователя.
Троян
Код, который кажется безобидным, например, игра, которая только заявляет о себе как о игре, но при этом выполняет нежелательные действия против пользователя.
Эта классификация обычно используется в сочетании с другими категориями потенциально опасных вредоносных программ (PHA). Троян состоит из безобидного компонента и скрытого вредоносного. Например, игра, которая отправляет платные SMS-сообщения с устройства пользователя в фоновом режиме и без его ведома.
Заметка о необычных приложениях
Новые и редкие приложения могут быть классифицированы как необычные, если у Google Play Protect недостаточно информации для их проверки на безопасность. Это не означает, что приложение обязательно вредоносно, но без дополнительной проверки его также нельзя проверить на безопасность.
Рискованное ПО
Приложение, использующее различные методы обмана, чтобы предоставить пользователю поддельные или фальшивые функции. Такие приложения маскируются под легальные приложения или игры, чтобы казаться безобидными для магазинов приложений и пользователей, и используют такие методы, как обфускация, динамическая загрузка кода или маскировка, для выявления потенциально опасного контента.
Опасное ПО похоже на другие категории PHA, в частности на трояны, но основное отличие заключается в методах, используемых для сокрытия вредоносной активности.
Нежелательное мобильное ПО (MUwS)
Google определяет нежелательное программное обеспечение (НППО) как приложения, которые не являются строго вредоносными, но наносят вред экосистеме программного обеспечения. Нежелательное мобильное ПО (НППО) выдает себя за другие приложения или собирает как минимум одну из следующих данных без согласия пользователя:
- Номер телефона устройства
- Основной адрес электронной почты
- Информация об установленных приложениях
- Информация о сторонних аккаунтах
MUwS отслеживается отдельно от вредоносных программ. Категории MUwS можно посмотреть здесь .
Предупреждения Google Play Protect
Когда Google Play Protect обнаруживает нарушение политики в отношении вредоносных программ, пользователю отображается предупреждение. Текст предупреждения для каждого нарушения доступен здесь .