Зловмисне програмне забезпечення

Наші правила щодо зловмисного програмного забезпечення прості: в екосистемі Android, зокрема в Google Play, і на пристроях користувачів не місце зловмисній поведінці. Згідно з цим фундаментальним принципом ми докладаємо всіх зусиль, щоб робити екосистему Android безпечною для користувачів і їхніх пристроїв.

Зловмисне програмне забезпечення – це будь-який код, що може поставити під загрозу користувача, його дані чи пристрій. До зловмисного програмного забезпечення належать, зокрема, потенційно шкідливі додатки, двійкові коди й модифікації фреймворків, серед яких можна виокремити категорії троянських, фішингових і шпигунських програм. Ми постійно оновлюємо категорії і додаємо нові.

Вимоги цього правила поширюються на будь-який сторонній код (наприклад, SDK), який використовується в додатку.

Хоча типи й функції зловмисних програм значно відрізняються, усі вони мають на меті щось із переліченого нижче.

Порушити захист пристрою користувача.
Отримати контроль над пристроєм користувача.
Допомогти зловмисникам віддалено отримати доступ до інфікованого пристрою, користуватися ним чи застосовувати з іншою метою.
Передавати персональні чи облікові дані з пристрою, не повідомивши про це користувача й не отримавши його згоди.
Надсилати з інфікованого пристрою спам або певні команди, щоб учиняти шкідливий вплив на інші пристрої та мережі.
Заволодіти коштами користувача.

Додаток, двійковий код чи модифікація фреймворку можуть бути потенційно шкідливі, навіть якщо їх не розроблено як зловмисні програми. Причина полягає в тому, що функції додатків, двійкових кодів і модифікацій фреймворків відрізняються залежно від багатьох змінних параметрів. Тому поведінка, шкідлива для одного пристрою Android, може не становити загрози для іншого. Наприклад, пристрої з останньою версією Android не зазнають впливу шкідливих програм, у яких зловмисну поведінку реалізовано через непідтримувані API, однак пристрої з ранішою версією Android перебувають під загрозою. Додатки, двійкові коди та модифікації фреймворків позначаються як зловмисне програмне забезпечення чи потенційно шкідливі додатки, якщо очевидно, що вони становлять загрозу для всіх чи деяких пристроїв Android і їх користувачів.

Ми переконані, що користувачі мають розуміти, як здійснюється керування пристроєм, і докладаємо всіх зусиль, щоб підтримувати безпечну інноваційну екосистему, якій користувачі можуть довіряти. Ґрунтуючись на цих фундаментальних принципах, ми розробили класифікацію зловмисного програмного забезпечення за наведеними нижче категоріями.

Щоб дізнатися більше, відвідайте веб-сайт Google Play Захисту.

Бекдори

Код, що дозволяє виконувати на пристрої небажані, потенційно шкідливі та дистанційно керовані операції.

Під час цих операцій можуть автоматично виконуватися дії, що дозволять віднести додаток, двійковий код чи модифікацію фреймворку до однієї з інших категорій зловмисного програмного забезпечення. Загалом поняття "бекдор" визначає спосіб виконання на пристрої потенційно шкідливої операції, а тому його важко віднести до таких категорій, як "Шахрайство з платежами" чи "Комерційні шпигунські програми". Як наслідок, за певних умов Google Play Захист може розпізнавати деякий набір бекдорів як загрозу безпеці.

Шахрайство з платежами

Код, що автоматично стягує з користувача плату в завідомо оманливий спосіб.

Існує три види шахрайства з мобільними платежами: SMS-шахрайство, шахрайство з дзвінками та шахрайство з рахунками на оплату.

SMS-шахрайство
Код, що спричиняє стягування з користувача плати за надсилання без його згоди SMS-повідомлень завищеної вартості або намагається уникнути розкриття своїх дій, приховуючи від користувача угоди про розголошення та SMS-повідомлення від мобільного оператора щодо оплати чи підтвердження підписок.

Деякі коди, хоча технічно й повідомляють про свої дії з SMS-повідомленнями, але здійснюють інші операції, що містять ознаки SMS-шахрайства. Це може бути приховування від користувача частин угоди про розголошення, відображення їх у нечитабельній формі та відхилення SMS-повідомлень від мобільного оператора щодо оплати чи підтвердження підписок.

Телефонне шахрайство
Код, що спричиняє стягування з користувача плати за здійснення без його згоди дзвінків на платні телефонні номери.

Шахрайство з рахунками на оплату
Код, що оманливим чином спонукає користувача придбати підписку чи контент через рахунок на оплату послуг мобільного зв'язку.

Шахрайство з рахунками на оплату стосується стягнення будь-якої плати, окрім SMS-повідомлень підвищеної вартості та дзвінків на платні номери. Серед прикладів такого шахрайства: оплата через оператора, оплата за використання бездротової точки доступу (WAP) та передавання пакетних хвилин. Найпоширенішим типом є шахрайство з оплатою за використання бездротової точки доступу. До нього може належати спонукання користувача оманливим способом натиснути кнопку на непомітно завантаженому прозорому компоненті WebView. Після виконання потрібної дії оформлюється поновлювана підписка, а електронний лист чи SMS-повідомлення з підтвердженням часто зламується, щоб користувач не помітив фінансову трансакцію.

Програмне забезпечення для стеження

Код, який збирає персональні чи чутливі дані користувачів на пристрої та передає їх третій особі (юридичній або фізичній) із метою відстеження.

Додатки мають надавати користувачам належне повідомлення про використання особистих даних і отримувати на це їхню згоду відповідно до правил щодо даних користувачів.

Рекомендації щодо додатків для стеження

Функції стеження можуть мати лише додатки, розроблені й призначені спеціально для того, щоб здійснювати нагляд за іншою фізичною особою, наприклад додатки для нагляду за дітьми або контролю над працівниками підприємства, за умови, що такі додатки повністю відповідають наведеним нижче вимогам. За допомогою таких додатків не можна стежити за певною особою (наприклад, чоловіком або дружиною) без її відома чи дозволу, навіть якщо при цьому відображається належне сповіщення. У файлі маніфесту таких додатків має міститися позначка метаданих IsMonitoringTool, щоб їх можна було обґрунтовано визначати як додатки для стеження.

Додатки для стеження повинні відповідати наведеним нижче вимогам.

Такі додатки не можуть позиціонуватися як рішення для шпигунства чи таємного стеження.
Додатки не можуть приховувати чи маскувати дії з відстеження або вводити в оману користувачів.
Під час роботи таких додатків на екрані завжди має відображатися належне сповіщення, а самі додатки повинні мати унікальний значок, за яким їх можна ідентифікувати.
На сторінках таких додатків у Google Play має чітко повідомлятися про функції нагляду чи стеження.
У додатках і на їх сторінках у Google Play заборонено пропонувати способи активації або доступу до функцій, які порушують ці умови (як-от зв’язування з невідповідним файлом APK, розміщеним не в Google Play).
Додатки не мають порушувати відповідне законодавство. Ви несете повну відповідальність за визнання законності свого додатка в цільовому регіоні.

Щоб дізнатися більше, прочитайте статтю Використання прапора IsMonitoringTool у Довідковому центрі.

Відмова в обслуговуванні (DoS)

Код, який таємно від користувача здійснює атаку типу "відмова в обслуговуванні" (DoS) або є частиною розподіленої DoS-атаки на інші системи та пристрої.

Наприклад, для цього може надсилатися велика кількість запитів HTTP, що створюють надмірне навантаження на віддалені сервери.

Зловмисні завантажувачі

Код, що завантажує потенційно шкідливі додатки, хоча сам таким не є.

Код може бути зловмисним завантажувачем, якщо:

існує причина вважати, що його створено з метою розповсюдження потенційно шкідливих додатків і він їх завантажив або містить частини, які можуть завантажувати та встановлювати додатки;
він завантажив щонайменше 500 додатків, принаймні 5% із яких є потенційно шкідливими (завантажено 25 потенційно шкідливих додатків).

Найпоширеніші веб-переглядачі та додатки для обміну файлами не вважаються зловмисними завантажувачами, якщо:

вони не ініціюють завантаження без участі користувача;
усі завантаження потенційно шкідливих додатків ініціюються за згоди користувача.

Загрози, спрямовані не на Android

Код, що містить загрози, спрямовані не на Android.

Такі додатки не становлять загрози для пристроїв Android чи їх користувачів, однак вони містять компоненти, що можуть зашкодити іншим платформам.

Фішинг

Код, який видає себе за отриманий із надійного джерела, просить користувача вказати платіжну інформацію або облікові дані для автентифікації та надсилає їх стороннім особам. До цієї категорії також належить код, який перехоплює облікові дані користувача під час передавання.

Найчастіше об'єктами фішингу стають: облікові дані для доступу до банківських сервісів, номери кредитних карток, імена й паролі облікових записів у соціальних мережах та іграх.

Неавторизоване отримання ширших прав

Код, що порушує цілісність системи, зламуючи ізольоване програмне середовище додатка, отримуючи додаткові права або змінюючи чи забороняючи доступ до компонентів, пов'язаних із головними функціями безпеки.

Нижче наведено кілька прикладів.

Додатки, що порушують модель дозволів Android або викрадають облікові дані (як-от маркери OAuth) з інших додатків.
Додатки, що неправомірно використовують функції, які запобігають їх видаленню чи зупинці.
Додатки, що деактивують SELinux.

Додатки для розширення прав, які отримують доступ до пристрою на кореневому рівні без дозволу користувача, належать до категорії додатків для використання пристроїв на кореневому рівні.

Програми-шантажисти

Код, що отримує частковий або повний контроль над пристроєм чи даними й вимагає від користувача здійснити оплату чи виконати певну дію для повернення контролю.

Певні програми-шантажисти шифрують дані на пристрої й вимагають оплату за розшифрування та/або змінюють функції адміністрування пристрою так, що пересічний користувач не може їх видалити. Нижче наведено кілька прикладів.

Блокування доступу користувача до пристрою й вимагання оплати за повернення контролю.
Шифрування даних на пристрої та вимагання оплати нібито за дешифрування.
Змінення функцій менеджера правил пристрою та блокування можливості користувача видалити шкідливий код.

Код, що поширюється разом із субсидованими пристроями з метою керування ними, можна виключити з категорії програм-шантажистів, якщо в ньому дотримано вимог стосовно безпечного блокування й керування, користувача належним чином повідомлено про відповідні функції й отримано його згоду.

Надання доступу до кореневого рівня

Код, що дозволяє використовувати пристрій на кореневому рівні.

Існує різниця між шкідливими та нешкідливими кодами для використання пристрою на кореневому рівні. Наприклад, нешкідливий додаток для використання пристрою на кореневому рівні заздалегідь попереджає користувача про отримання доступу до кореневого рівня пристрою та не вчиняє інших дій, характерних для інших категорій потенційно шкідливих додатків.

Шкідливі додатки для використання пристрою на кореневому рівні не попереджають користувача про отримання доступу до кореневого рівня або попереджають, однак вчиняють дії, характерні для інших категорій потенційно шкідливих додатків.

Спам

Код, що без згоди користувача надсилає повідомлення особам із його списку контактів чи використовує пристрій як ретранслятор для розсилання спаму електронною поштою.

Шпигунські програми

Шпигунські програми – це шкідливі додатки, код чи дії, які збирають, розкривають або передають третім особам дані користувачів чи пристороїв усупереч правилам.

До шпигунських програм також належить шкідливий код чи дії, які можуть вважатися шпигуванням за користувачем або які призводять до розкриття даних користувача без отримання його згоди чи повідомлення про це.

Шпигунські дії, зокрема, включають:

записування аудіо чи телефонних розмов;
викрадення даних додатків;
передавання даних із пристрою за допомогою стороннього коду (наприклад, SDK) неочікуваним для користувача способом без отримання його згоди чи повідомлення про це.

Усі додатки мають відповідати Правилам програми для розробників додатків у Google Play, зокрема пов’язаним із даними користувачів і пристроїв, наприклад правилам щодо небажаного програмного забезпечення для мобільних пристроїв, правилам щодо даних користувачів, правилам щодо дозволів і інтерфейсів API із доступом до чутливої інформації і вимогам щодо пакетів SDK.

Троянські програми

Код, що видається безпечним, наприклад гра, що виглядає як просто гра, однак виконує небажані дії стосовно користувача.

Зазвичай цю категорію потенційно шкідливих додатків використовують у поєднанні з іншими. Троянська програма містить безпечний компонент і прихований шкідливий компонент. Це може бути, наприклад, гра, що непомітно й у фоновому режимі надсилає з пристрою користувача SMS-повідомлення підвищеної вартості.

Зауваження щодо незвичних додатків

Нові та рідкісні додатки можуть класифікуватися як незвичні, якщо Google Play Захист не має достатньо даних, щоб підтвердити їхню безпечність. Ці додатки не обов'язково шкідливі, однак не можуть вважатися безпечними без докладнішої перевірки.

Примітка щодо категорії бекдорів

Код можна класифікувати як бекдор, ґрунтуючись на його поведінці. Щоб код вважався бекдором, він обов'язково має дозволяти операцію, автоматичне виконання якої дасть змогу віднести код до будь-якої іншої категорії зловмисного програмного забезпечення. Наприклад, якщо додаток дозволяє динамічне завантаження коду й завантажений таким чином код видобуває текстові повідомлення, додаток вважатиметься бекдором.

Однак якщо додаток дозволяє виконання довільного коду, але в нас немає причин вважати, що виконання такого коду покликано ініціювати зловмисну операцію, ми вважатимемо, що цей додаток містить вразливість, але не є не бекдором, і попросимо розробника додати виправлення.

Замасковане зловмисне програмне забезпечення

Додатки, які приховано пропонують користувачам функції, що відрізняються від заявлених. Такі додатки видають себе за звичайні додатки й ігри в магазинах додатків, щоб здаватися безпечними, і приховують шкідливий контент за допомогою таких методів, як заплутування, динамічне завантаження коду й маскування.

Замасковане зловмисне програмне забезпечення схоже на потенційно шкідливі додатки з інших категорій, зокрема на троянські програми. Його головна відмінність полягає в тому, як воно маскує зловмисну діяльність.

Чи корисна ця інформація?

Як можна її покращити?