マルウェア

有害な可能性のある望ましくない操作を、デバイスに対してリモート制御で実行できるようにするコード。

この操作には、自動的に実行されたときに、他のカテゴリのマルウェアにアプリ、バイナリ、フレームワーク変更を挿入する動作が含まれる場合があります。通常、バックドアは有害な可能性のある操作をデバイス上で発生させることができる方法で、請求詐欺や商用スパイウェアのようなカテゴリと完全に同列ではありません。そのため、状況によってはバックドアのサブセットが、Google Play プロテクトで脆弱性として取り扱われる場合があります。

詐欺的な方法で、ユーザーに対して自動的な請求を行うコード。

モバイル請求詐欺には、SMS 詐欺、通話料詐欺、電話料金詐欺などがあります。

SMS 詐欺
ユーザーの同意なく有料の SMS を送信したり、SMS アクティビティを偽装（情報開示契約を非表示にし、請求の通知や定期購入の確認のため携帯通信会社から送信される SMS メッセージを隠蔽）したりするコード。

SMS の送信動作を技術的には開示していても、SMS 詐欺に関係する追加の動作が含まれているコードもあります。例として、情報開示契約の一部を隠してユーザーが読めないようにし、請求の通知や定期購入の確認のため携帯通信会社から送信される SMS メッセージを条件付きで隠蔽する場合などがあります。

通話料詐欺
ユーザーの同意なく有料番号に電話をかけ、ユーザーに料金を請求するコード。

電話料金詐欺
ユーザーを欺き、携帯電話料金の請求を通じてコンテンツを購入または定期購入させるコード。

電話料金詐欺には、有料の SMS 詐欺や通話料詐欺を除く、あらゆるタイプの請求詐欺が含まれます。たとえば、キャリア決済詐欺、ワイヤレス アプリケーション プロトコル（WAP）詐欺、モバイル エアタイム送金詐欺なども電話料金詐欺の一種です。中でも最も蔓延しているのが WAP 詐欺です。WAP 詐欺には、目に見えない WebView を気付かれないように読み込み、ユーザーを欺いてボタンをクリックさせるものなどがあります。アクションを実行すると定期購入が開始されますが、確認の SMS やメールが隠蔽されることが多いため、料金の請求などの情報がユーザーに通知されません。

モニタリング目的で、デバイス上の個人情報や機密性の高いユーザーデータを収集して第三者（企業または特定の個人）に送信するコード。

アプリは、ユーザーデータに関するポリシーに定められているとおり、認識しやすい開示を適切に行いユーザーの同意を得る必要があります。

モニタリング アプリに関するガイドライン

モニタリング アプリとして承認を受けるためには、特定の個人のモニタリング（保護者による子供のモニタリングなど）や企業管理（従業員のモニタリング）のみを目的として設計、販売しており、以下に示す要件を完全に満たしている必要があります。これらのアプリを、目的以外の人（たとえば配偶者）の追跡に使用することはできません。永続的な通知が表示されるかどうかに関係なく、たとえ追跡される人がそのことを認識し許可している場合でも使用できません。これらのアプリは、マニフェスト ファイルで IsMonitoringTool メタデータ フラグを使用して、モニタリング アプリであることを適切に表明する必要があります。

モニタリング アプリは、最低限、以下の要件を満たす必要があります。

• スパイ行為や内偵をアプリの用途として掲げてはなりません。
• 追跡機能をユーザーに隠したり、偽装したり、ごまかそうとしたりしてはなりません。
• アプリの実行中は常に永続的な通知を表示し、アプリを明確に識別できる固有のアイコンを示す必要があります。
• モニタリング機能または追跡機能について Google Play ストアのアプリの掲載情報で開示する必要があります。
• アプリや Google Play のアプリ掲載情報では、利用規約に違反する機能（Google Play 以外でホストされていてポリシーを遵守していない APK へのリンクなど）を有効にする手段や、そうした機能にアクセスする手段を提供してはなりません。
• 適用されるすべての法律を遵守する必要があります。公開する地域でのアプリの合法性の判断については、デベロッパーが全責任を負います。

ユーザーが気付かないうちにサービス拒否攻撃（DoS）を実行するコード、または他のシステムやリソースに対する分散型 DoS 攻撃の一部を担うコード。

たとえば、リモート サーバーに大量の HTTP リクエストを送信し、過剰な負荷をかけることによって DoS を発生させます。

他の PHA をダウンロードするコード（コード自体は有害ではない場合がある）。

次のいずれかに該当するコードは、悪意のあるダウンローダである可能性があります。

• PHA を拡散するために作られたと判断するに足る理由があり、ダウンロードされた PHA がある、またはアプリをダウンロードしてインストールする可能性のあるコードが含まれている場合。
• そのコードによってダウンロードされたアプリの 5% 以上が PHA である場合（観測されたアプリ ダウンロード 500 件の最小しきい値で PHA のダウンロードが 25 件）。

主要なブラウザとファイル共有アプリは、次の条件を満たす限り、悪意のあるダウンローダとは見なされません。

• ユーザーによる操作なしでダウンロードを実行することがない。
• すべての PHA ダウンロードをユーザーの同意に基づいて開始している。

Android 以外への脅威を含むコード。

このようなアプリは、Android のユーザーやデバイスには危害を及ぼしませんが、他のプラットフォームに危害を及ぼすおそれのある要素を含んでいます。

信頼できる提供元を装い、ユーザーの認証情報や請求情報を要求してデータを第三者に送信するコード。このカテゴリには、伝送中のユーザー認証情報を傍受するコードも該当します。

フィッシングの対象として一般的なのは、銀行口座の認証情報、クレジット カード番号、ソーシャル ネットワークやゲームのオンライン アカウント認証情報などです。

アプリ サンドボックスの破壊、昇格させた権限の取得、セキュリティ関連のコア機能へのアクセスの変更または無効化などにより、システムの完全性を損なわせるコード。

次に例を示します。

• Android の権限モデルに違反するアプリ、他のアプリから認証情報（たとえば OAuth トークン）を窃取するアプリ。
• アプリのアンインストールや停止を防止する機能を悪用するアプリ。
• SELinux を無効にするアプリ。

ユーザーの許可なくデバイスの root 権限を取得する権限昇格アプリは、root 権限取得アプリに分類されます。

デバイスまたはデバイス上のデータの一部または全部を制御不能にし、元に戻すことと引き換えに、ユーザーに金銭の支払いや操作の実行を要求するコード。

ランサムウェアには、デバイス上のデータを暗号化して復号化する代わりに支払いを要求するものや、デバイスの管理機能を利用して一般的なユーザーでは除去できないようにするものもあります。次に例を示します。

• ユーザーがデバイスを利用できない状態にし、利用できる状態に戻す見返りとして金銭を要求します。
• デバイス上のデータを暗号化し、それを復号するという名目で支払いを要求します。
• デバイスのポリシー管理機能を利用して、ユーザーが除去できないようにします。

デバイス管理の有償化を主な目的としてデバイスと一緒に配布されるコードは、安全なロックと管理の要件、およびユーザーへの適切な開示と同意の要件を満たしていれば、ランサムウェアのカテゴリから除外される場合があります。

デバイスの root 権限を取得するコード。

root 権限を取得するコードにも、悪意のあるものとないものがあります。たとえば悪意のない root 権限取得アプリは、デバイスの root 権限を取得することを事前にユーザーに知らせ、他の PHA カテゴリに該当する有害な可能性のあるアクションを実行しません。

悪意のある root 権限取得アプリは、デバイスの root 権限を取得することをユーザーに知らせなかったり、事前にユーザーに知らせつつ、他の PHA カテゴリに該当するアクションを実行したりします。

ユーザーの連絡先情報を使って迷惑メールを送信したり、ユーザーのデバイスを迷惑メールの中継機として使用したりするコード。

スパイウェアとは、悪意のあるアプリケーションやコードであり、また、ポリシーに準拠した機能と無関係なユーザーデータまたはデバイスデータを収集、窃取、または共有する動作です。

ユーザーを密かに調査していると考えられるか、適切な通知または同意なしにデータを抜き取る、悪意のあるコードまたは動作もスパイウェアと見なされます。

スパイウェア違反には、たとえば次のようなものがありますが、これらに限定されません。

• 音声の録音、または電話への通話の録音
• アプリデータの窃取
• ユーザーが予期しない方法で、および / または適切なユーザーの通知または同意なしにデバイス上のデータを送信する、悪意のあるサードパーティ コード（SDK など）を含むアプリ

また、すべてのアプリは、ユーザーデータとデバイスデータに関するポリシー（モバイルの望ましくないソフトウェア、ユーザーデータ、機密情報へのアクセスに関する権限と API、SDK に関する要件など）を含むすべての Google Play デベロッパー プログラム ポリシーに準拠する必要があります。

一見すると無害だが（たとえばただのゲームだと謳っているゲーム）、ユーザーに対して望ましくないアクションを実行するコード。

通常、このカテゴリは他の PHA カテゴリと組み合わせて使用します。トロイの木馬は、無害なコンポーネントと、隠された有害なコンポーネントで構成されています。たとえば、ユーザーがゲームをしているバックグラウンドで、気付かないうちにユーザーのデバイスから有料の SMS メッセージを送信するゲームは、トロイの木馬です。

新しいアプリやあまり見かけないアプリは、安全と確認できるだけの十分な情報がないため、Google Play プロテクトで「一般的ではないアプリ」として分類されることがあります。そのアプリが必ずしも有害であることを意味するわけではありませんが、安全であることを確認するにはさらなる審査が必要になります。

バックドア マルウェア カテゴリに分類されるかどうかは、コードの動作に応じて判断されます。バックドアに分類される必要条件は、そのコードが自動的に実行されたときに、他のカテゴリのマルウェアにコードを挿入する動作が可能になるかどうかです。たとえば、動的コードの読み込みが可能で、動的に読み込まれたコードがテキスト メッセージを抽出する場合、そのアプリはバックドア マルウェアと分類されます。

ただし、アプリが任意のコード実行を許可しており、そのコード実行を追加した目的が悪意のある行為だと判断できる理由がない場合、そのアプリはバックドア マルウェアではなく脆弱性として取り扱われ、デベロッパーにパッチの適用が要請されます。

さまざまな回避手法を駆使して、ユーザーが予期し得ない、または偽の機能を提供するアプリです。このようなアプリは、正当なアプリまたはゲームであるように見せかけることで、アプリストアに対して無害を装いつつ、難読化、動的コードの読み込み、クローキングなどの手法を使用して悪意のあるコンテンツを公開します。

マスクウェアは、他の PHA カテゴリ、特にトロイの木馬と似ていますが、主な違いは、悪意のあるアクティビティを難読化する手法が使用されている点です。