Вредоносное ПО

Правило простое: экосистема Android, включающая Google Play и устройства пользователей, не должна подвергаться воздействию вредоносного ПО. Руководствуясь этим принципом, мы стараемся делать экосистему Android безопасной для пользователей и их устройств на базе Android.

Вредоносным ПО считается любой код, который может представлять угрозу для пользователя, а также его данных или устройств. Например, к вредоносному ПО относятся потенциально опасные приложения (ПОП), а также исполняемые файлы и модификации фреймворков, относящиеся к таким категориям, как троянские программы, фишинг и шпионское ПО. Мы постоянно обновляем этот список и добавляем новые категории.

Вредоносные программы могут различаться по типу и принципу действия, но, как правило, преследуют какие-либо из следующих целей:

вмешательство в работу устройства пользователя;
получение контроля над устройством пользователя;
выполнение удаленных операций, позволяющих получать доступ к зараженному устройству или каким-либо образом использовать его;
передача персональных или учетных данных с устройства без ведома и согласия пользователя;
рассылка с зараженного устройства спама или команд, которые затрагивают другие устройства или сети;
мошеннические действия по отношению к пользователю.

Приложения, исполняемые файлы и модификации фреймворков, даже если они изначально не были созданы с вредоносными целями, могут считаться потенциально опасными и представлять угрозу для пользователя. Дело в том, что они могут действовать по-разному в зависимости от целого ряда факторов. Компоненты, которые могут представлять риск для одних устройств Android, совершенно безвредны для других. Например, вредоносные программы, использующие устаревшие API, не станут угрозой для устройств, на которых установлена последняя версия ОС Android, в отличие от устройств с более ранними версиями. Приложения, исполняемые файлы и модификации фреймворков помечаются как вредоносные или потенциально опасные, если они представляют явную угрозу для некоторых или всех пользователей и устройств Android.

Мы хотим, чтобы наша экосистема была безопасной, построенной на инновациях и доверии, а также чтобы пользователи понимали, как именно злоумышленники могут эксплуатировать их устройства. Именно поэтому мы подготовили описание категорий вредоносного ПО.

Подробную информацию можно найти на сайте Google Play Защиты.

СВЕРНУТЬ ВСЕ РАЗВЕРНУТЬ ВСЕ

Бэкдоры

Код, который позволяет удаленно выполнять на устройстве нежелательные, потенциально опасные операции.

Такие операции могут включать процессы, из-за автоматического выполнения которых приложение, исполняемый файл или модификация фреймворка попадет в другие категории вредоносного ПО. В целом бэкдор – это способ, с помощью которого потенциально опасные операции могут быть выполнены на устройстве. Поэтому бэкдор сложно поставить в один ряд с такими категориями, как мошенническое списание средств или коммерческое шпионское ПО. В результате Google Play Защита при определенных обстоятельствах может посчитать набор бэкдоров уязвимостью.

Мошенническое списание средств

Код, который приводит к автоматическому списанию средств пользователя обманным способом.

Существует три категории мошеннических списаний средств через операторов мобильной связи: SMS-мошенничество, мошенничество со звонками и мошенничество с оформлением подписки или оплатой контента.

SMS-мошенничество
В этом случае код приводит к отправке платных SMS без согласия пользователя или скрывает соглашения, содержащие информацию о передаче SMS, или сообщения, в которых оператор связи уведомляет о списании средств или подтверждает оформление подписки.

Бывает, что код не скрывает от пользователя отправку сообщений, но способствует SMS-мошенничеству другими путями. Примеры: сокрытие определенных разделов соглашения с информацией о передаче SMS или представление этих разделов в нечитаемом виде, блокировка сообщений, в которых оператор связи уведомляет пользователя о списании средств или подтверждает подписку.

Мошенничество со звонками
В этом случае код приводит к звонкам на платные номера без согласия пользователя.

Мошенничество с оформлением подписки или оплатой контента
В этом случае код используется для того, чтобы обманным путем заставить человека приобрести подписку или оплатить контент через оператора мобильной связи.

К этой категории относятся все списания средств, кроме тех, которые вызваны платными SMS и платными звонками. Примеры: оплата через оператора связи, использование беспроводной точки доступа (WAP) и передача минут мобильной связи. Мошенничество с WAP особенно популярно. Оно может использоваться для того, чтобы обманом заставить человека нажать кнопку в незаметно загружающемся прозрачном компоненте WebView. В результате подписка оформляется, а SMS или письмо с подтверждением транзакции перехватывается, чтобы пользователь не узнал о списании средств.

ПО для преследования

Программный код, который в целях мониторинга собирает персональные или конфиденциальные пользовательские данные с устройства и передает их третьим лицам (компаниям или физическим лицам).

Приложения должны раскрывать информацию и получать согласие в соответствии с правилами в отношении пользовательских данных.

Рекомендации в отношении приложений для мониторинга

Единственными приемлемыми приложениями для мониторинга являются приложения, предназначенные для родительского или корпоративного контроля. При этом должны полностью соблюдаться приведенные ниже требования. С помощью этих приложений запрещается следить за другими лицами (например, за супругом или супругой) даже с ведома и согласия таких лиц и при условии показа уведомления о передаче информации. Чтобы объявить, что приложение используется для мониторинга, в файле манифеста необходимо указать параметр IsMonitoringTool.

Приложения для мониторинга должны соответствовать перечисленным ниже требованиям.

В описании приложения не должно говориться, что это шпионское ПО или инструмент для секретной слежки.
Приложения не должны скрывать свои функции отслеживания или вводить пользователя в заблуждение по этому поводу.
Во время работы таких приложений должны постоянно отображаться уведомление о том, что приложение запущено, и уникальный значок, позволяющий однозначно идентифицировать приложение.
В описании приложения в Google Play должны упоминаться его функции мониторинга или отслеживания.
В приложениях и на их страницах в Google Play не должно быть способов активировать функции, нарушающие эти правила, или получить доступ к таким функциям. Например, запрещены ссылки на не соответствующие требованиям APK-файлы, размещенные не в Google Play.
Приложения должны соответствовать действующему законодательству. Вы несете полную ответственность за соблюдение законов страны, где ваше приложение будет распространяться.

Подробную информацию вы найдете в справочной статье об использовании флага isMonitoringTool.

Атака типа "отказ в обслуживании" (DoS)

Код, который незаметно для пользователя запускает атаку типа "отказ в обслуживании" (DoS) или принимает участие в распределенной атаке такого типа, направленной на другие системы и ресурсы.

Пример: отправка большого количества HTTP-запросов для создания чрезмерной нагрузки на удаленные серверы.

Загрузчики вредоносного ПО

Код, который сам по себе безвреден, но скачивает другие потенциально опасные приложения.

Код может быть загрузчиком вредоносного ПО, если выполняется хотя бы одно из условий:

есть основания считать, что он создан для распространения потенциально опасных приложений, скачивает такие приложения или содержит код, который может скачивать и устанавливать приложения;
как минимум 5 % приложений, скачанных этим кодом, являются потенциально опасными (то есть при минимальном пороге в 500 скачанных приложений должно быть обнаружено хотя бы 25 потенциально опасных).

Ведущие браузеры и приложения для обмена файлами не считаются загрузчиками вредоносного ПО, если:

скачивание в них не запускается без участия пользователя;
скачивание потенциально опасных приложений начинается только после того, как пользователь дает на это согласие.

Угроза для устройств не на базе Android

Код, потенциально опасный для других платформ.

Приложения с таким кодом безопасны для устройств Android и их пользователей, но содержат компоненты, которые могут нанести вред другим платформам.

Фишинг

Код, полученный якобы из надежного источника, который запрашивает учетные или платежные данные пользователя, а затем передает их третьим лицам. К этой же категории относится код, который перехватывает учетные данные при их передаче.

Обычно фишингу подвергаются номера кредитных карт, а также учетные данные для аккаунтов в банковских системах, играх и социальных сетях.

Повышение привилегий

Код, который нарушает целостность системы, проникая в тестовую среду, получая более высокий уровень привилегий или изменяя или отключая доступ к основным функциям, связанным с безопасностью.

Примеры:

Приложения, которые нарушают модель разрешений Android или крадут учетные данные (такие как токены OAuth) из других приложений.
Приложения, которые препятствуют удалению или остановке функций.
Приложения, которые отключают модуль SELinux.

Приложения, которые без разрешения пользователя получают root-доступ через повышение привилегий, относятся к категории "Получение root-доступа".

Программы-вымогатели

Код, который получает полный или частичный контроль над устройством или данными на нем и требует, чтобы для восстановления доступа пользователь заплатил деньги или выполнил какое-либо действие.

Некоторые из таких программ шифруют данные на устройстве и требуют деньги за их расшифровку и/или получают полномочия администратора, что не позволяет пользователю удалить программу-вымогатель. Примеры:

Программы, которые блокируют пользователю доступ к устройству и требуют деньги за его восстановление.
Программы, которые шифруют данные и требуют плату якобы за их расшифровку.
Программы, которые получают доступ к менеджеру правил устройства, из-за чего пользователь не может удалить эти программы.

Код, распространяемый вместе с устройством, предназначенный в первую очередь для привилегированного управления устройством, может быть исключен из категории программ-вымогателей, если он соответствует требованиям к безопасности блокировки и управления, а также к раскрытию информации и получению согласия пользователей.

Получение root-доступа

Код, который получает root-доступ к устройству.

Такой код не всегда является вредоносным. К примеру, некоторые приложения заранее предупреждают пользователя о том, что получат root-доступ к устройству, и не выполняют других опасных действий, характерных для потенциально опасных приложений.

Вредоносные приложения не уведомляют пользователя о том, что они получат root-доступ к устройству, или уведомляют, но также выполняют другие действия, характерные для потенциально опасных приложений.

Спам

Код, который отправляет незапрашиваемые сообщения контактам пользователя или использует устройство в качестве ретранслятора писем со спамом.

Шпионское ПО

Шпионским ПО называют вредоносное приложение, код или действия, которые позволяют собирать, раскрывать или передавать третьим лицам данные пользователя или устройства, не связанные с функциями, соответствующими правилам.

К шпионскому ПО также относится вредоносный код или поведение, которые могут считаться способами слежки за пользователем или приводят к раскрытию данных без его согласия или уведомления.

Шпионские действия включают, помимо прочего:

запись аудио или вызовов на телефоне;
кражу данных приложений;
передачу данных с устройства, которая совершается неожиданным для пользователя способом, без его согласия или уведомления и выполняется вредоносным сторонним кодом (например, SDK) в составе приложения.

Приложения также должны соответствовать всем Правилам программы для разработчиков приложений в Google Play, в том числе связанным с данными пользователей и устройств, таким как правила в отношении нежелательного ПО для мобильных устройств, пользовательских данных и разрешений и API с доступом к конфиденциальной информации, а также требованиям к SDK.

Троянские приложения

Код, который кажется безвредным (например, обычной игрой), но выполняет нежелательные действия по отношению к пользователю.

Эта классификация обычно используется в сочетании с другими категориями потенциально опасных приложений. Троянское приложение выглядит безвредно, но содержит скрытый вредоносный компонент. Например, игра, которая в фоновом режиме отправляет платные SMS с устройства без ведома пользователя.

Примечание о необычных приложениях

Google Play Защита может посчитать новые и редкие приложения необычными при отсутствии достаточного количества данных, указывающих на безопасность. Это не означает, что приложение является вредоносным. Но в число безопасных оно сможет попасть только после дополнительной проверки.

Примечание к категории "Бэкдоры"

Включение кода в категорию бэкдоров зависит от того, что именно он делает. Чтобы код считался бэкдором, он должен позволять запускать процессы, из-за автоматического выполнения которых код попадет в другую категорию вредоносного ПО. Например, если в приложении разрешена динамическая загрузка кода и динамически загружаемый код извлекает SMS, такое приложение будет считаться бэкдором.

Но если в приложении разрешено выполнение произвольного кода и у нас нет оснований считать, что этот код добавлен для выполнения вредоносных процессов, такое приложение не будет отнесено к бэкдорам. Вместо этого мы отметим, что оно имеет уязвимость, и попросим разработчика устранить ее.

Маскирующееся ПО

Приложения, в которых функции отличаются от заявленных и скрываются различными способами. Подобные приложения и игры выглядят безопасными во время проверок от магазинов приложений, поскольку разработчики скрывают вредоносный контент, маскируя его, используя обфускацию и подгружая код динамически.

Маскирующееся ПО похоже на потенциально опасные приложения из других категорий, в особенности на трояны. Однако оно скрывает вредоносное содержимое иными способами.

Эта информация оказалась полезной?

Как можно улучшить эту статью?