恶意软件

此类代码允许在某个设备上执行不需要的、可能有害的远程控制操作。

如果自动执行，这些操作包含的行为可能会导致应用、二进制文件或框架修改变成其他某种恶意软件。一般来说，后门程序描述了可能有害的操作在设备上的发生方式，因此不完全等同于结算欺诈或商业间谍软件等类别。因此，在某些情况下，Google Play 保护机制会将部分后门程序视为漏洞。

此类代码会通过蓄意欺骗的方式自动向用户收费。

手机帐单欺诈分为短信欺诈、电话欺诈和收费欺诈。

短信欺诈
此类代码会在未经用户同意的情况下发送付费短信，或者试图通过隐藏披露协议或移动运营商向用户发送的收费或订阅确认通知短信来掩盖其短信活动，进而达到向用户收取费用的目的。

有些代码尽管从技术层面披露了自身的短信发送行为，但是会引入其他可能构成短信欺诈的行为。例如，对用户隐藏披露协议的部分内容，使其无法阅读；有条件地隐藏移动运营商向用户发送的收费或订阅确认通知短信。

电话欺诈
此类代码会在未经用户同意的情况下通过拨打付费电话号码向用户收取费用。

收费欺诈
此类代码会诱骗用户通过手机帐单代扣方式订阅或购买内容。

收费欺诈包括除付费短信和付费电话欺诈之外所有类型的帐单欺诈。相关示例包括与运营商直接代扣、无线接入点 (WAP) 和手机话费转移相关的欺诈。WAP 欺诈是最常见的收费欺诈之一。WAP 欺诈的形式包括诱骗用户在悄声加载的透明 WebView 上点击一个按钮。用户执行该操作后，就会触发一项周期性订阅，通常此类订阅的确认短信或电子邮件会被劫持，从而导致用户无法注意到相关的财务交易。

出于监控目的，从设备中收集个人数据或敏感用户数据，并将相应数据传输至第三方（企业或其他个人）的代码。

根据用户数据政策规定，应用必须提供适当的醒目披露声明并征得用户同意。

关于监控应用的准则

专为监控其他个人（例如父母监管自己的孩子或企业管理者监控员工）而设计和推广且完全符合下述要求的应用，才是可接受的监控应用。此类应用不得用于跟踪任何其他人（例如，配偶），无论跟踪目标是否知情或许可，也无论应用是否显示常驻通知，都是如此。这些应用必须在其清单文件中使用 IsMonitoringTool 元数据标记以适当方式宣称自身为监控应用。

监控应用必须符合以下要求：

• 应用不得标明是用于暗中监控或秘密监视用途。
• 应用不得隐藏或掩盖跟踪行为，或试图误导用户来隐瞒这类功能的真正用途。
• 应用在运行期间必须始终向用户显示常驻通知，并呈现可清楚识别该应用的独特图标。
• 应用必须在 Google Play 商店说明中披露监控或跟踪功能。
• Google Play 上的应用及其应用详情不得提供任何途径来激活或使用违反上述条款的功能（例如链接到在 Google Play 以外托管的不符合规定的 APK）。
• 应用必须遵守所有适用的法律规定。您须自行负责确定应用在目标语言区域的合法性。

此类代码会在用户不知情的情况下对其他系统和资源执行拒绝服务攻击 (DoS)，或者构成分布式 DoS 攻击的一环。

例如，它们可以通过发送大量 HTTP 请求使远程服务器上产生过多的负载，从而达到攻击目的。

此类代码本身没有潜在危害，但会下载其他 PHA。

如果某个应用符合以下情况，它就可能是恶意下载程序：

• 有依据表明它是为了传播 PHA 而开发的，并且已经下载了 PHA，或者包含可下载并安装应用的代码；或者
• 在监测量不低于 500 次应用下载的情况下，检测到它下载的应用中至少有 5% 是 PHA（检测到 25 次 PHA 下载）。

对于主流浏览器和文件共享应用，只要满足以下条件，便不属于恶意下载程序：

• 它们不会在无用户交互的情况下触发下载；并且
• 所有 PHA 下载都是在用户同意的情况下启动的。

此类代码包含非 Android 威胁。

使用此类代码的应用不会对 Android 用户或设备造成危害，但包含可能对其他平台有害的组件。

此类代码假装来自可信来源，请求获取用户的身份验证凭据或结算信息，并向第三方发送数据。此类别还包括在用户凭据传输过程中拦截传输行为的代码。

网上诱骗常见的攻击目标包括银行凭据、信用卡号，以及社交网络和游戏的在线帐号凭据。

此类代码通过以下方式破坏系统完整性：破坏应用沙盒、获取超出规定的权限，或者更改或禁止核心安全相关功能的访问权限。

例如：

• 应用违反 Android 权限模型，或从其他应用窃取凭据（例如 OAuth 令牌）。
• 应用滥用防卸载或防关停功能。
• 应用停用 SELinux。

未经用户同意取得设备 root 权限的提权应用会被划分为获取 root 权限的应用。

此类代码会对设备或设备上的数据施加一定程度或严密的控制，用户必须付款或执行某项操作才能解除控制。

某些勒索软件会加密设备上的数据，要求用户付款后才会解密数据，并且（或者）会利用设备管理员功能，让普通用户无法移除这些数据。例如：

• 锁定设备，使用户无法访问，并要求用户花钱赎回控制权。
• 加密设备上的数据，以解密数据为由要求用户付款。
• 利用设备政策管理器功能，阻止用户移除数据。

如果使用设备分发的代码的主要目的是辅助设备管理，则我们可能会不将这类代码视为勒索软件，但前提是这类代码全面满足安全锁定和管理要求，并充分满足用户告知和意见征求要求。

此类代码会启用设备的 root 权限。

启用 root 权限的代码有非恶意和恶意之分。例如，要启用 root 权限的非恶意应用会提前告知用户它们将启用设备的 root 权限，并且不会执行属于其他 PHA 类别的其他潜在危害性操作。

然而，要启用 root 权限的恶意应用不会告知用户它们将启用设备的 root 权限，或者尽管会提前告知用户启用 root 权限的行为，但是还会执行属于其他 PHA 类别的其他操作。

此类代码会向用户的联系人发送垃圾消息，或将设备用作垃圾邮件中继。

间谍软件是指会收集、泄露或分享与符合政策的功能无关的用户数据或设备数据的恶意应用、代码或行为。

可视为对用户执行间谍活动或者在没有适当通知用户或征得用户同意的情况下泄露数据的恶意代码或行为也被视为间谍软件。

例如，间谍软件违规行为包括但不限于：

• 录音或或对通话录音
• 窃取应用数据
• 具有恶意第三方代码（例如 SDK）的应用以出乎用户意料的方式或在未适当通知用户或征得用户同意的情况下，将设备上的个人数据传输出去。

所有应用还必须遵守所有 Google Play 开发者计划政策，包括有关用户数据和设备数据的政策，例如“移动垃圾软件”政策、“用户数据”政策、“敏感信息访问权限和 API”政策 以及 SDK 要求。

此类代码看似没有问题（例如声称自己只是一款游戏的游戏），但会针对用户执行用户不想要的操作。

这种类别的代码通常会与其他 PHA 类别的代码混合在一起。特洛伊木马由一个看似无害的组件和一个隐藏的有害组件构成。例如，某游戏在用户不知情的情况下，在后台从用户的设备发送付费短信。

对于新的和罕见的应用，如果 Google Play 保护机制掌握的信息较少，无法明确判定是否安全，则可能会将其分类为不常见的应用。这并非意味着这类应用一定有害，但如果未经进一步审核，也不能明确确定其一定安全。

后门程序恶意软件类别的分类取决于代码行为。将代码归类为后门程序的必要条件是：如果自动执行，这种代码所实现的行为会导致其变成其他某种恶意软件。例如，如果某应用允许动态加载代码，并且动态加载的代码会提取文本消息，则该应用会被归类为后门程序恶意软件。

但是，如果某应用允许执行任意代码，而且我们没有理由认为该代码执行行为是为了达成恶意目的，则该应用会被视为存在漏洞（不会被视为后门程序恶意软件），我们会要求开发者进行修补。

一种利用多种规避技术向用户提供不一致或虚假功能的应用。此类应用会伪装成合法的应用或游戏，使其在应用商店中看似无害，并利用诸如混淆、动态代码加载或伪装真实内容等技术来显示恶意内容。

Maskware 与其他 PHA 类别（特别是特洛伊木马）相似，但主要区别在于会采用各种技术来混淆恶意活动。