Phần mềm độc hại

Loại mã tạo điều kiện cho việc thực hiện những thao tác điều khiển từ xa, ngoài ý muốn và có thể gây hại trên thiết bị.

Những thao tác này có thể bao gồm hành vi khiến ứng dụng, tệp nhị phân, hoặc nội dung chỉnh sửa khung ứng dụng rơi vào một trong các danh mục phần mềm độc hại khác (nếu thao tác được thực hiện một cách tự động). Nhìn chung, cửa hậu được mô tả là cách thức xảy ra hoạt động có khả năng gây hại trên thiết bị. Vì vậy, cửa hậu không hoàn toàn thuộc các danh mục như lừa đảo qua giao dịch thanh toán hoặc phần mềm gián điệp thương mại. Kết quả là trong một số trường hợp, Google Play Protect sẽ coi một nhóm nhỏ các mã cửa hậu là lỗ hổng.

Loại mã có chủ ý lừa đảo để tự động tính phí người dùng.

Trên thiết bị di động, có 3 loại mã lừa đảo qua giao dịch thanh toán: lừa đảo bằng tin nhắn SMS, lừa đảo bằng cách gọi điện và lừa đảo qua cước phí.

Lừa đảo bằng tin nhắn SMS
Loại mã tính phí người dùng để gửi tin nhắn đến các đầu số dịch vụ mặc dù chưa được người dùng cho phép, hoặc không công khai hành vi gửi tin nhắn SMS bằng cách giấu đi thỏa thuận tiết lộ thông tin hay tin nhắn SMS từ nhà mạng di động để thông báo về các khoản phí hoặc yêu cầu xác nhận gói đăng ký.

Một số mã mặc dù về nguyên tắc có tiết lộ về hành động gửi tin nhắn SMS nhưng vẫn thực hiện những hành động khác tạo điều kiện lừa đảo bằng tin nhắn SMS. Ví dụ như mã có thể ẩn một số phần trong thỏa thuận tiết lộ thông tin nên người dùng không đọc được những phần này, từ đó tạo điều kiện chặn giữ tin nhắn SMS thông báo từ nhà mạng di động về các khoản phí hoặc yêu cầu xác nhận mua một gói đăng ký.

Lừa đảo bằng cách gọi điện
Loại mã tính phí người dùng bằng cách gọi đến các đầu số dịch vụ mà chưa được người dùng cho phép.

Lừa đảo qua cước phí
Loại mã lừa người dùng đăng ký hoặc mua nội dung thông qua hóa đơn tiền điện thoại di động.

Hành vi lừa đảo qua cước phí áp dụng cho tất cả hình thức thanh toán, trừ tin nhắn SMS và cuộc gọi đến các đầu số dịch vụ. Ví dụ: Thanh toán trực tiếp qua nhà mạng, điểm truy cập không dây (WAP), và giao dịch nạp tiền qua điện thoại di động. Lừa đảo bằng điểm truy cập không dây là một trong các hình thức lừa đảo qua cước phí phổ biến nhất. Hình thức lừa đảo này có thể lừa người dùng nhấp vào một nút trên một chế độ xem web trong suốt, tự tải mà không thông báo cho người dùng. Khi người dùng thực hiện thao tác này, hệ thống sẽ bắt đầu đăng ký gói dịch vụ tự động gia hạn, đồng thời xâm nhập và kiểm soát email hoặc tin nhắn xác nhận để ngăn không cho người dùng nhận thấy có giao dịch tài chính nào diễn ra.

Mã thu thập dữ liệu cá nhân hoặc nhạy cảm của người dùng từ một thiết bị và truyền dữ liệu cho bên thứ ba (doanh nghiệp hoặc cá nhân khác) nhằm mục đích giám sát.

Các ứng dụng phải cung cấp đầy đủ thông tin công bố nổi bật và nhận được sự đồng ý theo yêu cầu của chính sách Dữ liệu người dùng.

Nguyên tắc áp dụng cho các ứng dụng giám sát

Loại ứng dụng giám sát duy nhất được chúng tôi chấp nhận là ứng dụng được thiết kế và tiếp thị riêng cho mục đích giám sát người khác, ví dụ như cha mẹ giám sát con cái hoặc ban quản lý doanh nghiệp giám sát từng nhân viên, với điều kiện ứng dụng đó hoàn toàn tuân thủ những yêu cầu dưới đây. Không ai được dùng những ứng dụng này để theo dõi người khác (ví dụ: vợ/chồng) kể cả khi họ biết và đồng ý với việc theo dõi đó, bất kể những ứng dụng này có hiển thị thông báo liên tục về hoạt động theo dõi hay không. Các ứng dụng này phải sử dụng cờ siêu dữ liệu IsMonitoringTool trong tệp kê khai để tự chỉ định việc ứng dụng đó là ứng dụng giám sát một cách thích hợp.

Ứng dụng giám sát phải tuân thủ các yêu cầu sau:

• Ứng dụng không được tự giới thiệu là một giải pháp gián điệp hoặc giám sát bí mật.
• Ứng dụng không được ẩn hay che giấu hành vi theo dõi hoặc tìm cách khiến người dùng nhầm lẫn về chức năng đó.
• Ứng dụng phải hiển thị cho người dùng một thông báo liên tục mỗi lần chạy và phải có một biểu tượng độc nhất giúp dễ dàng nhận dạng ứng dụng.
• Các ứng dụng phải công bố chức năng giám sát hoặc theo dõi trong nội dung mô tả trên cửa hàng Google Play.
• Ứng dụng và trang thông tin ứng dụng trên Google Play không được cung cấp phương thức kích hoạt hay truy cập chức năng nào vi phạm những điều khoản trên, chẳng hạn như hành vi liên kết đến một APK không tuân thủ được lưu trữ bên ngoài Google Play.
• Ứng dụng phải tuân thủ mọi luật hiện hành. Bạn chịu toàn bộ trách nhiệm xác định tính hợp pháp của ứng dụng tại địa điểm mà ứng dụng hướng tới.

Loại mã tấn công bằng cách từ chối cung cấp dịch vụ cho người dùng (DoS), hoặc là một phần của cuộc tấn công từ chối dịch vụ nhắm đến các tài nguyên và hệ thống khác. Người dùng có thể không biết rằng mình đã bị mã này tấn công.

Ví dụ: Khi một số lượng lớn yêu cầu HTTP được gửi đi khiến các máy chủ từ xa bị quá tải.

Loại mã về bản chất không có nguy cơ gây hại, nhưng lại tải các ứng dụng có khả năng gây hại khác xuống.

Bạn có thể nhận biết các mã của phần mềm tải ứng dụng có khả năng gây hại xuống khi:

• Bạn nhận thấy rằng mã được tạo ra để lan truyền các ứng dụng có khả năng hại và đã tải các ứng dụng này xuống, hoặc thấy rằng phần mềm có chứa mã có thể tải và cài đặt ứng dụng, hoặc
• Ít nhất 5% số ứng dụng đã tải xuống thông qua mã này là ứng dụng có khả năng gây hại, căn cứ theo mức tối thiểu là 500 lượt tải xuống ghi nhận được, trong đó phát hiện 25 ứng dụng có khả năng gây hại.

Các trình duyệt lớn và ứng dụng phổ biến có chức năng chia sẻ tệp không được coi là phần mềm tải ứng dụng có khả năng gây hại xuống vì:

• Trình duyệt/ứng dụng không tải nội dung xuống khi người dùng không thực hiện thao tác tải xuống, và
• Tất cả ứng dụng có khả năng gây hại đã tải xuống đều có sự cho phép của người dùng.

Loại mã gây nguy hiểm cho những nền tảng khác ngoài Android.

Những ứng dụng này không thể gây hại cho người dùng hoặc thiết bị Android, nhưng lại chứa những thành phần có thể gây hại cho nền tảng khác.

Loại mã giả mạo mã từ một nguồn đáng tin cậy, yêu cầu người dùng cung cấp thông tin xác thực hoặc thông tin thanh toán, rồi gửi dữ liệu này cho bên thứ ba. Những mã chặn lấy thông tin xác thực của người dùng trong quá trình truyền dữ liệu cũng thuộc loại này.

Các mục tiêu điển hình của hành vi lừa đảo bao gồm thông tin đăng nhập tài khoản ngân hàng, số thẻ tín dụng, và thông tin đăng nhập tài khoản trực tuyến để sử dụng mạng xã hội hoặc chơi trò chơi.

Loại mã làm tổn hại tính toàn vẹn của hệ thống bằng việc phá vỡ hộp cát của ứng dụng, chiếm lấy đặc quyền cao cấp, hoặc thay đổi hay vô hiệu hóa quyền truy cập các chức năng cốt lõi liên quan đến bảo mật.

Các ví dụ bao gồm:

• Ứng dụng vi phạm mô hình quản lý quyền của Android hoặc đánh cắp thông tin xác thực (như mã thông báo OAuth) từ các ứng dụng khác.
• Ứng dụng lợi dụng các tính năng để ngăn người dùng gỡ cài đặt hoặc vô hiệu hóa ứng dụng.
• Ứng dụng vô hiệu hóa SELinux.

Những ứng dụng sở hữu đặc quyền cao cấp để can thiệp vào hệ thống của thiết bị khi chưa được người dùng cho phép được phân loại là ứng dụng can thiệp hệ thống.

Loại mã kiểm soát một phần hoặc phần lớn thiết bị hay dữ liệu trên thiết bị và yêu cầu người dùng trả tiền hoặc thực hiện một hành động để lấy lại quyền kiểm soát.

Một số phần mềm tống tiền mã hóa dữ liệu trên thiết bị, rồi yêu cầu người dùng phải trả tiền thì mới giải mã dữ liệu và/hoặc lợi dụng các tính năng của quản trị viên thiết bị để người dùng thông thường không thể xóa phần mềm này. Các ví dụ bao gồm:

• Khóa thiết bị để người dùng không mở được, rồi đòi tiền để khôi phục quyền điều khiển cho người dùng.
• Mã hóa dữ liệu trên thiết bị rồi đòi tiền, vờ như để giải mã dữ liệu.
• Lợi dụng các tính năng quản lý chính sách của thiết bị và khiến người dùng không thể xóa phần mềm.

Loại mã được phân phối cùng với thiết bị có mục đích chính là hỗ trợ quản lý thiết bị có thể được loại trừ khỏi danh mục phần mềm tống tiền, với điều kiện là mã này đáp ứng các yêu cầu về việc quản lý và khóa an toàn, cùng các yêu cầu về việc công bố đầy đủ thông tin cho người dùng và có được sự đồng ý của họ.

Loại mã can thiệp vào hệ thống của thiết bị.

Có một số điểm khác biệt giữa mã can thiệp vào hệ thống có tính chất gây hại với mã không gây hại. Ví dụ: các ứng dụng can thiệp vào hệ thống mà không gây hại sẽ báo trước cho người dùng biết rằng ứng dụng sẽ có quyền kiểm soát hệ thống của thiết bị mà không thực hiện thêm hành động gây hại nào được xếp vào các danh mục khác về ứng dụng có khả năng gây hại.

Ứng dụng can thiệp vào hệ thống mà gây hại sẽ không báo cho người dùng biết rằng ứng dụng sẽ có quyền kiểm soát hệ thống trên thiết bị, hoặc ứng dụng có báo trước nhưng lại thực hiện thêm những hành động được xếp vào các danh mục khác về ứng dụng có khả năng gây hại.

Loại mã gửi tin nhắn không mong muốn đến những người liên hệ trong danh bạ của người dùng hoặc sử dụng chính thiết bị để chuyển tiếp email rác.

Phần mềm gián điệp là một ứng dụng, đoạn mã hoặc hành vi độc hại thu thập, trích xuất hoặc chia sẻ dữ liệu người dùng hoặc dữ liệu thiết bị không liên quan đến chức năng tuân thủ chính sách.

Đoạn mã hoặc hành vi độc hại có thể bị coi là có hành vi theo dõi người dùng hoặc trích xuất dữ liệu mà không có thông báo hoặc sự đồng ý đầy đủ cũng bị coi là phần mềm gián điệp.

Ví dụ: vi phạm phần mềm gián điệp bao gồm nhưng không giới hạn ở:

• Hành vi ghi âm hoặc ghi lại cuộc gọi đến điện thoại
• Hành vi lấy cắp dữ liệu ứng dụng
• Ứng dụng có đoạn mã độc hại của bên thứ ba (ví dụ: SDK) truyền dữ liệu ra khỏi thiết bị theo cách mà người dùng không ngờ tới và/hoặc không có thông báo hoặc sự đồng ý đầy đủ của người dùng.

Tất cả ứng dụng cũng đều phải tuân thủ toàn bộ Chính sách chương trình dành cho nhà phát triển của Google Play, kể cả những chính sách về dữ liệu thiết bị và dữ liệu người dùng, chẳng hạn như Phần mềm không mong muốn trên thiết bị di động, Dữ liệu người dùng, Các quyền và API truy cập thông tin nhạy cảm cũng như Yêu cầu về SDK.

Loại mã có vẻ vô hại, chẳng hạn như một trò chơi cho rằng đó chỉ là trò chơi đơn thuần, nhưng lại thực hiện những hành động không mong muốn và gây hại cho người dùng.

Nhóm này thường được sử dụng kết hợp cùng các loại PHA (ứng dụng có khả năng gây hại) khác. Phần mềm trojan chứa một thành phần vô hại và một thành phần gây hại được che giấu. Ví dụ: Một trò chơi sử dụng thiết bị của người dùng ở chế độ nền để gửi tin nhắn SMS có tính phí mà người dùng không biết.

Những ứng dụng hiếm gặp và mới xuất hiện có thể được phân loại dưới dạng không phổ biến trong trường hợp Google Play Protect không có đủ thông tin để xác định rằng những ứng dụng này an toàn. Điều này không nhất thiết có nghĩa là ứng dụng đó có hại. Tuy nhiên, vì chưa thể tiến hành đánh giá đầy đủ, nên chúng tôi cũng không thể xác định rằng ứng dụng đó an toàn.

Cách thức hoạt động của mã quyết định việc mã đó có thuộc loại cửa hậu trong các loại phần mềm độc hại hay không. Một điều kiện cần thiết để xác định mã thuộc loại cửa hậu là việc mã đó tạo điều kiện cho những hành vi khiến mã đó trở thành một loại phần mềm độc hại khác (nếu được thực hiện một cách tự động). Ví dụ: Nếu một ứng dụng cho phép thực thi cơ chế tải mã linh hoạt và mã được tải theo cách linh hoạt đó trích xuất các tin nhắn văn bản, thì ứng dụng này sẽ được xác định là phần mềm độc hại loại cửa hậu.

Tuy nhiên, nếu ứng dụng cho phép thực thi mã tùy ý, và chúng tôi không có lý do để cho rằng chức năng thực thi mã này được thêm vào nhằm thực hiện hành vi gây hại, thì chúng tôi sẽ xem là ứng dụng đó có lỗ hổng, chứ không phải là phần mềm độc hại loại cửa hậu. Đồng thời, chúng tôi sẽ yêu cầu nhà phát triển vá lỗi.

Loại ứng dụng sử dụng nhiều loại công nghệ trá hình nhằm cung cấp cho người dùng chức năng ứng dụng giả mạo hoặc không giống như giới thiệu. Những ứng dụng như vậy giả dạng thành những ứng dụng hoặc trò chơi chính thống để đánh lừa cửa hàng ứng dụng, đồng thời sử dụng những kỹ thuật như làm rối, tải mã động hoặc kỹ thuật che giấu để nội dung độc hại không bị phát hiện.

Phần mềm trá hình cũng tương tự các danh mục ứng dụng có khả năng gây hại khác, đặc biệt là Trojan. Tuy nhiên, sự khác biệt lớn nhất là những kỹ thuật được dùng để làm rối mã nguồn của hoạt động gây hại.