Malware

Kode yang dieksekusi di perangkat sehingga memungkinkan operasi jarak jauh yang tidak diinginkan dan berpotensi membahayakan.

Operasi ini mungkin menyertakan perilaku yang akan menempatkan aplikasi, biner, atau modifikasi framework masuk ke dalam salah satu kategori malware lainnya jika otomatis dijalankan. Secara umum, backdoor (pintu belakang) dapat dideskripsikan sebagai operasi yang berpotensi membahayakan yang dapat terjadi pada suatu perangkat. Oleh karena itu, operasi tersebut tidak benar-benar sesuai dengan kategori seperti penipuan tagihan atau spyware komersial. Akibatnya, sebagian backdoor (pintu belakang), dalam situasi tertentu, dianggap sebagai kerentanan oleh Google Play Protect.

Kode yang otomatis membebankan biaya kepada pengguna dengan cara yang sengaja menipu.

Penipuan tagihan seluler terbagi menjadi penipuan SMS, penipuan Telepon, dan penipuan Pulsa.

Penipuan SMS
Kode yang membebankan biaya kepada pengguna untuk mengirim SMS premium tanpa persetujuan, atau mencoba untuk menyamarkan aktivitas SMS-nya dengan menyembunyikan perjanjian pengungkapan atau pesan SMS dari operator seluler yang memberi tahu pengguna terkait penagihan atau konfirmasi langganan.

Beberapa kode, meskipun secara teknis mengungkapkan perilaku pengiriman SMS, menunjukkan perilaku tambahan yang mengakomodasi penipuan SMS. Contohnya termasuk menyembunyikan bagian perjanjian pengungkapan dari pengguna, membuatnya tidak dapat dibaca, dan ada kalanya menyembunyikan pesan SMS dari operator seluler yang menginformasikan pengguna terkait tagihan atau konfirmasi langganan.

Penipuan Telepon
Kode yang membebankan biaya kepada pengguna dengan melakukan panggilan ke nomor premium tanpa persetujuan pengguna.

Penipuan Pulsa
Kode yang mengelabui pengguna agar berlangganan atau membeli konten melalui tagihan telepon selulernya.

Penipuan Pulsa meliputi semua jenis penagihan kecuali SMS premium dan panggilan premium. Contohnya termasuk tagihan operator langsung, titik akses nirkabel (WAP), dan transfer pulsa seluler. Penipuan WAP adalah salah satu jenis penipuan Pulsa paling umum. Penipuan WAP dapat termasuk mengelabui pengguna agar mengklik tombol pada WebView transparan yang diam-diam dimuat. Setelah melakukan tindakan ini, langganan berulang akan dimulai, dan SMS atau email konfirmasi sering kali dibajak untuk mencegah pengguna menyadari transaksi finansial yang terjadi.

Kode yang mengumpulkan data pengguna yang bersifat pribadi atau sensitif dari perangkat dan mentransmisikan data kepada pihak ketiga (perusahaan atau individu lain) untuk tujuan pemantauan.

Aplikasi harus menyediakan pengungkapan yang jelas dan memadai serta mendapatkan persetujuan seperti yang diwajibkan oleh Kebijakan Data Pengguna.

Panduan untuk Aplikasi Pemantauan

Aplikasi yang secara eksklusif dirancang dan dipasarkan untuk memantau individu lain, seperti orang tua yang memantau anak-anaknya atau pengelola perusahaan yang memantau setiap karyawan, adalah aplikasi pemantauan yang diterima asalkan aplikasi pemantauan tersebut sepenuhnya mematuhi persyaratan yang dijelaskan di bawah ini. Aplikasi ini tidak dapat digunakan untuk melacak orang lain (misalnya pasangan) bahkan dengan sepengetahuan dan izin dari orang tersebut, meskipun notifikasi persisten ditampilkan. Aplikasi ini harus menggunakan flag metadata IsMonitoringTool di file manifesnya agar ditandai dengan tepat sebagai aplikasi pemantauan.

Aplikasi pemantauan harus mematuhi persyaratan berikut:

• Aplikasi tidak boleh berfungsi sebagai alat untuk memata-matai atau melakukan pengintaian rahasia.
• Aplikasi tidak boleh menyembunyikan atau menyelubungkan perilaku pelacakan, atau berupaya untuk menyesatkan pengguna terkait fungsi tersebut.
• Aplikasi harus terus memberikan notifikasi persisten kepada pengguna setiap kali aplikasi sedang berjalan, serta menyediakan ikon unik yang mengidentifikasi aplikasi secara jelas.
• Aplikasi harus mengungkapkan fungsi pemantauan atau pelacakan di deskripsi Google Play Store.
• Aplikasi dan listingan aplikasi di Google Play tidak boleh memberikan cara apa pun untuk mengaktifkan atau mengakses fungsi yang melanggar persyaratan ini, seperti menautkan ke APK yang melanggar dan dihosting di luar Google Play.
• Aplikasi harus mematuhi setiap hukum yang berlaku. Anda sepenuhnya bertanggung jawab untuk menetapkan pemenuhan aspek hukum aplikasi di lokasi targetnya.

Kode yang tanpa sepengetahuan pengguna menjalankan serangan denial-of-service (DoS) atau merupakan bagian dari serangan DoS yang didistribusikan pada sistem dan resource lainnya.

Misalnya, hal ini dapat terjadi dengan mengirim permintaan HTTP bervolume tinggi untuk membuat pemuatan berlebihan pada server jarak jauh.

Kode yang sebenarnya tidak berpotensi membahayakan, tetapi mendownload aplikasi yang berpotensi membahayakan (PHA) lainnya.

Kode bisa berupa downloader berbahaya jika:

• Ada alasan untuk meyakini bahwa kode dibuat untuk menyebarkan PHA dan kode telah mendownload PHA atau berisi kode yang dapat mendownload atau menginstal aplikasi; atau
• Setidaknya 5% aplikasi yang didownload oleh kode merupakan PHA dengan batas minimum 500 download aplikasi yang diamati (25 hasil download PHA yang diamati).

Browser utama dan aplikasi berbagi file tidak dianggap sebagai downloader berbahaya selama:

• Browser dan aplikasi tidak mendorong download tanpa interaksi pengguna; dan
• Semua download PHA dimulai dengan persetujuan pengguna.

Kode yang berisi ancaman non-Android.

Aplikasi ini tidak membahayakan pengguna atau perangkat Android, tetapi berisi komponen yang berpotensi membahayakan platform lainnya.

Kode yang seolah-olah berasal dari sumber tepercaya, meminta kredensial autentikasi atau informasi penagihan pengguna, dan mengirimkan data tersebut kepada pihak ketiga. Kategori ini juga berlaku pada kode yang menghadang pengiriman kredensial pengguna pada saat transit.

Target umum phising meliputi kredensial perbankan, nomor kartu kredit, dan kredensial akun online untuk jaringan sosial dan game.

Kode yang mengganggu integritas sistem dengan merusak sandbox aplikasi, mendapatkan hak istimewa yang ditingkatkan, atau mengubah atau menonaktifkan akses ke fungsi terkait keamanan inti.

Contohnya mencakup:

• Aplikasi yang melanggar model izin Android, atau mencuri kredensial (seperti token OAuth) dari aplikasi lain.
• Aplikasi yang menyalahgunakan fitur agar aplikasi tidak dapat di-uninstal atau dihentikan.
• Aplikasi yang menonaktifkan SELinux.

Aplikasi eskalasi akses yang melakukan root pada perangkat tanpa izin pengguna diklasifikasikan sebagai aplikasi rooting.

Kode yang mengambil sebagian atau seluruh kontrol perangkat atau data pada perangkat dan meminta pengguna membayar atau melakukan tindakan untuk mengambil kembali kontrol tersebut.

Beberapa ransomware mengenkripsi data pada perangkat dan meminta pembayaran untuk mendekripsi data dan/atau memanfaatkan fitur admin perangkat sehingga data tidak dapat dihapus oleh pengguna biasa. Contohnya mencakup:

• Membuat pengguna tidak dapat login ke perangkatnya dan meminta uang untuk memulihkan kontrol pengguna.
• Mengenkripsi data pada perangkat dan meminta pembayaran, seolah-olah untuk mendekripsi data.
• Memanfaatkan fitur pengelola kebijakan perangkat dan memblokir penghapusan oleh pengguna.

Kode yang didistribusikan dengan perangkat, yang tujuan utama penggunaannya adalah untuk mengganti pengelolaan perangkat, dapat dikecualikan dari kategori ransomware jika kode memenuhi persyaratan untuk pengelolaan dan penguncian yang aman, serta persyaratan persetujuan dan pengungkapan pengguna yang memadai.

Kode yang melakukan root pada perangkat.

Ada perbedaan antara kode rooting tidak berbahaya dan berbahaya. Misalnya, aplikasi rooting tidak berbahaya akan memberi tahu pengguna sebelum melakukan root pada perangkat dan tidak akan menjalankan tindakan berpotensi membahayakan lainnya yang berlaku pada kategori aplikasi yang berpotensi membahayakan (PHA) lainnya.

Aplikasi rooting berbahaya tidak memberi tahu pengguna bahwa akan melakukan root pada perangkat, atau memberi tahu pengguna terlebih dahulu terkait proses root ini, tetapi juga menjalankan tindakan lain yang berlaku untuk kategori aplikasi yang berpotensi membahayakan (PHA) lainnya.

Kode yang mengirimkan pesan tidak diminta ke kontak pengguna atau menggunakan perangkat sebagai sarana untuk meneruskan penyebaran spam email.

Spyware adalah aplikasi, kode, atau perilaku berbahaya yang mengumpulkan, memindahkan, atau membagikan data pengguna atau perangkat yang tidak terkait dengan.fungsi yang sesuai dengan kebijakan.

Kode atau perilaku berbahaya yang dapat dianggap sebagai memata-matai pengguna atau memindahkan data tanpa pemberitahuan atau persetujuan yang memadai juga dianggap sebagai spyware.

Misalnya, pelanggaran spyware termasuk, tetapi tidak terbatas pada:

• Merekam audio atau merekam panggilan yang masuk ke ponsel
• Mencuri data aplikasi
• Aplikasi dengan kode pihak ketiga yang berbahaya (misalnya, SDK) yang mengirimkan data keluar dari perangkat dengan cara yang tidak terduga bagi pengguna dan/atau tanpa pemberitahuan atau persetujuan pengguna yang memadai.

Semua aplikasi juga harus mematuhi semua Kebijakan Program Developer Google Play, termasuk kebijakan data pengguna dan perangkat seperti Software Seluler yang Tidak Diinginkan (MUwS), Data Pengguna, Izin dan API yang Mengakses Informasi Sensitif, dan Persyaratan SDK.

Kode yang tampak tidak berbahaya, seperti game yang mengklaim bahwa game tersebut benar-benar hanya game, tetapi melakukan tindakan yang tidak diinginkan terhadap pengguna.

Klasifikasi ini biasanya digunakan bersamaan dengan kategori Aplikasi yang Berpotensi Membahayakan (PHA) lainnya. Trojan memiliki komponen tidak berbahaya dan komponen membahayakan yang tersembunyi. Misalnya, game yang mengirimkan pesan SMS premium dari perangkat pengguna di latar belakang tanpa sepengetahuan pengguna.

Aplikasi baru dan jarang dapat diklasifikasikan sebagai tidak umum jika Google Play Protect tidak memiliki cukup informasi untuk mengategorikannya sebagai aman. Ini bukan berarti bahwa aplikasi berbahaya, tetapi tanpa tinjauan lebih lanjut aplikasi tersebut tidak dapat dikategorikan sebagai aman.

Klasifikasi kategori malware backdoor (pintu belakang) didasarkan pada cara kode berperilaku. Kode dapat diklasifikasikan sebagai backdoor (pintu belakang) bila memiliki perilaku yang membuatnya termasuk salah satu kategori malware lainnya jika otomatis dijalankan. Misalnya, jika suatu aplikasi memungkinkan pemuatan kode dinamis dan kode tersebut mengekstrak pesan teks, maka kode akan diklasifikasikan sebagai malware backdoor (pintu belakang).

Namun, jika suatu aplikasi memungkinkan eksekusi kode arbitrer dan kami tidak memiliki alasan untuk meyakini bahwa eksekusi kode ini ditambahkan untuk menjalankan perilaku membahayakan, maka aplikasi akan dianggap memiliki kerentanan, bukan malware backdoor (pintu belakang), dan developer akan diminta untuk melakukan patch pada aplikasi.

Aplikasi yang menggunakan berbagai teknik penghindaran untuk menayangkan fungsi aplikasi yang berbeda atau palsu kepada pengguna. Aplikasi ini menyamarkan diri sebagai aplikasi atau game yang sah agar tampak tidak berbahaya bagi app store dan menggunakan berbagai teknik seperti obfuscation, pemuatan kode dinamis, atau penyelubungan untuk mengungkap konten berbahaya.

Maskware mirip dengan kategori PHA lainnya, terutama Trojan, dengan perbedaan utama terletak pada teknik yang digunakan untuk meng-obfuscate aktivitas berbahaya.