Złośliwe oprogramowanie

Kod, który umożliwia przeprowadzenie na urządzeniu niechcianych, potencjalnie szkodliwych, kontrolowanych zdalnie operacji.

Mogą to być działania, których automatyczne wykonanie powodowałoby zaliczenie aplikacji, pliku binarnego lub modyfikacji platformy do jednej z kategorii złośliwego oprogramowania. Ogólnie rzecz biorąc, określenie „tajny dostęp” odnosi się do tego, w jaki sposób na urządzeniu może dojść do potencjalnie szkodliwych działań, dlatego nie można go do końca zakwalifikować do takich kategorii jak oszustwa związane z płatnościami czy komercyjne programy szpiegowskie. Z tego względu podkategoria tajnego dostępu jest czasem traktowana przez Google Play Protect jak luka w zabezpieczeniach.

Kod, który wprowadza użytkownika w błąd i powoduje automatyczne naliczanie opłat.

Oszustwa obejmujące płatności mobilne dzielimy na fałszywe SMS-y, połączenia i dodatkowe opłaty.

Fałszywe SMS-y
Kod, który powoduje naliczanie opłat za wysyłanie płatnych SMS-ów bez pytania użytkownika o zgodę lub próbuje zamaskować aktywność związaną z obsługą wiadomości SMS przez ukrywanie umów albo powiadomień od operatora informujących użytkownika o pobieraniu opłat lub potwierdzających rozpoczęcie subskrypcji.

Czasami kod, technicznie rzecz biorąc, nie ukrywa wysyłania SMS-ów, ale wprowadza dodatkowe zachowania umożliwiające oszustwo. Przykłady obejmują ukrywanie fragmentów umowy przed użytkownikiem i blokowanie powiadomień SMS od operatora sieci komórkowej, które informują użytkownika o naliczaniu opłat lub rozpoczęciu subskrypcji.

Fałszywe połączenia
Kod, który powoduje naliczanie dodatkowych opłat za połączenia telefoniczne bez uzyskania zgody użytkownika.

Dodatkowe opłaty
Kod, który wprowadza użytkownika w błąd i powoduje dokonywanie niezamierzonych zakupów (w tym subskrypcji) przy użyciu rozliczeń przez operatora.

Takie oszustwa obejmują dowolny rodzaj opłat poza specjalnymi SMS-ami i połączeniami. Mogą to być płatności bezpośrednio u operatora, jak również opłaty za korzystanie z bezprzewodowych punktów dostępu czy transmisję danych. Najczęściej stosowane są opłaty za bezprzewodowe punkty dostępu. Użytkownik jest zwykle nakłaniany, by kliknął przycisk na dyskretnie wczytanym, przezroczystym komponencie WebView. Po wykonaniu takiej czynności rozpoczyna się uruchomienie cyklicznie odnawianej subskrypcji, a potwierdzający to SMS lub e-mail jest przechwytywany, by użytkownik nie zauważył transakcji.

Kod, który zbiera z urządzenia prywatne lub wrażliwe dane użytkownika i przesyła je osobom trzecim (firmom lub innym osobom) na potrzeby monitorowania.

Aplikacje muszą zawierać odpowiednie, dobrze widoczne informacje oraz uzyskać zgodę użytkowników. Opisaliśmy to w zasadach dotyczących danych użytkownika.

Wytyczne dla aplikacji monitorujących

Jedynymi dozwolonymi aplikacjami do monitorowania są te stworzone do monitorowania innych osób, np. do monitorowania dzieci przez rodziców, lub do zarządzania przedsiębiorstwem, np. do monitorowania poszczególnych pracowników, pod warunkiem że spełniają one wszystkie wymagania opisane poniżej. Aplikacje takie nie mogą być używane do śledzenia nikogo innego (np. współmałżonka), nawet za zgodą i wiedzą tej osoby oraz nawet przy wyświetlanym stałym powiadomieniu. Te aplikacje muszą wykorzystywać w pliku manifestu flagę metadanych IsMonitoringTool, aby prawidłowo oznaczać się jako aplikacje monitorujące.

Aplikacje monitorujące muszą spełniać te wymagania:

• Aplikacje nie mogą prezentować się jako rozwiązania służące do szpiegowania lub podglądania.
• Aplikacje nie mogą ukrywać ani maskować monitorowania ani próbować wprowadzać użytkowników w błąd co do działania takich funkcji.
• Aplikacje muszą wyświetlać użytkownikom stałe powiadomienie przez cały czas działania oraz unikalną ikonę jasno określającą aplikację.
• Aplikacje muszą ujawniać funkcję monitorowania lub śledzenia w opisie w Sklepie Google Play.
• Aplikacje i informacje o aplikacjach w Google Play nie mogą w żaden sposób umożliwiać aktywowania ani użycia funkcji, które naruszają nasze warunki, np. nie mogą zawierać linków do niezgodnego pakietu APK spoza Google Play.
• Aplikacje muszą być zgodne z obowiązującymi przepisami prawa. Ponosisz pełną odpowiedzialność za to, aby Twoja aplikacja była zgodna z przepisami docelowego kraju lub regionu.

Kod, który bez wiedzy użytkownika wykonuje atak typu DoS lub jest częścią rozproszonego ataku typu DoS kierowanego na inne systemy i zasoby.

Może to na przykład polegać na masowym wysyłaniu żądań HTTP w celu wygenerowania nadmiernego obciążenia zdalnych serwerów.

Kod, który sam w sobie nie jest groźny, ale pobiera inne potencjalnie szkodliwe aplikacje.

Kod może być uznany za służący do pobierania szkodliwych elementów w tych przypadkach:

• Istnieje podejrzenie, że kod został utworzony do pobierania potencjalnie szkodliwych aplikacji, pobrał takie aplikacje lub zawiera kod, który może pobierać i instalować aplikacje.
• Co najmniej 5% aplikacji pobranych przez ten kod to potencjalnie szkodliwe aplikacje. Minimalny próg wyliczeń to 500 zarejestrowanych pobrań aplikacji (25 zarejestrowanych pobrań potencjalnie szkodliwych aplikacji).

Główne przeglądarki i aplikacje do udostępniania plików nie są uznawane za szkodliwe programy pobierające, jeśli spełniają te warunki:

• Nie pobierają plików bez interakcji użytkownika.
• Wszystkie pobrania potencjalnie szkodliwych aplikacji są uruchomione przez użytkowników wyrażających na to zgodę.

Kod zawierający zagrożenia, które nie dotyczą Androida.

Takie aplikacje nie są zagrożeniem dla użytkownika urządzenia z Androidem ani samego urządzenia z tym systemem, ale zawierają komponenty, które mogą być szkodliwe na innych platformach.

Kod, który stwarza pozory, że pochodzi z zaufanego źródła, żądający danych uwierzytelniających lub rozliczeniowych użytkownika w celu wysłania ich do osoby trzeciej. Ta kategoria obejmuje również kod, który przechwytuje dane logowania użytkownika podczas ich przesyłania.

Częstym celem ataków phishingowych są dane logowania do banku, numery kart kredytowych i dane logowania do kont internetowych w sieciach społecznościowych lub grach.

Kod, który narusza integralność systemu poprzez uszkodzenie piaskownicy aplikacji, zdobycie podwyższonych uprawnień albo zmianę lub wyłączenie dostępu do podstawowych funkcji związanych z bezpieczeństwem.

Przykłady:

• Aplikacja, która nie jest zgodna z modelem uprawnień Androida lub wykrada dane logowania (na przykład tokeny OAuth) z innych aplikacji.
• Aplikacje, które nadużywają różnych funkcji, by uniemożliwić ich odinstalowanie lub zatrzymanie.
• Aplikacja, która wyłącza SELinux.

Aplikacje eskalujące uprawnienia, które umożliwiają dostęp do roota urządzenia bez pytania użytkownika o zgodę, są klasyfikowane jako aplikacje umożliwiające dostęp do roota.

Kod, który częściowo lub w znacznym stopniu przejmuje kontrolę nad urządzeniem bądź danymi na urządzeniu i żąda od użytkownika płatności lub wykonania jakiejś czynności w zamian za zwrócenie kontroli.

Niektóre programy typu ransomware szyfrują dane na urządzeniu i żądają płatności w zamian za ich odszyfrowanie lub wykorzystują funkcje administracyjne urządzenia, by typowy użytkownik nie był w stanie ich usunąć. Przykłady:

• Uniemożliwienie użytkownikowi dostępu do urządzenia i żądanie pieniędzy w zamian za zwrócenie kontroli.
• Szyfrowanie danych na urządzeniu i żądanie zapłaty, po której rzekomo ma nastąpić odszyfrowanie.
• Wykorzystywanie funkcji menedżera zasad urządzenia w celu uniemożliwienia użytkownikowi usunięcia aplikacji.

Kod rozpowszechniany razem z urządzeniem, którego głównym celem jest finansowanie zarządzania urządzeniem, może być wykluczony z kategorii ransomware, jeśli spełni wymagania dotyczące bezpiecznego blokowania i zarządzania oraz odpowiedniego informowania użytkownika i uzyskiwania jego zgody.

Kod, który ma dostęp do roota na urządzeniu.

Kod umożliwiający dostęp do roota może być nieszkodliwy lub szkodliwy. Nieszkodliwe aplikacje z dostępem do roota powiadamiają użytkownika o zamiarze uzyskania dostępu do roota – nie wykonują groźnych działań, które są charakterystyczne dla innych potencjalnie szkodliwych aplikacji.

Złośliwe aplikacje z dostępem do roota nie informują użytkownika o zamiarze uzyskania takiego dostępu albo powiadamiają o tym użytkownika, ale wykonują też inne działania, które kwalifikują je jako potencjalnie szkodliwe aplikacje.

Kod, który wysyła niechciane wiadomości do kontaktów użytkownika lub wykorzystuje urządzenie jako narzędzie do wysyłania spamerskich e-maili.

Program szpiegowski to szkodliwa aplikacja, kod lub działanie, które gromadzi, pozyskuje lub udostępnia dane urządzenia lub użytkownika w sposób niezgodny z zasadami.

Szkodliwy kod lub działania, które mogą uchodzić za szpiegowanie użytkownika lub pozyskiwanie danych bez odpowiedniego powiadomienia lub zgody, też mogą zostać uznane za programy szpiegowskie.

Przykłady naruszeń uznawanych za programy szpiegowskie to między innymi:

• nagrywanie dźwięku lub rozmów odbieranych na telefonie,
• wykradanie danych aplikacji,
• aplikacje używające szkodliwego kodu zewnętrznego (np. pakietu SDK) przesyłającego dane z urządzenia w sposób, którego użytkownik się nie spodziewa, lub bez odpowiedniego powiadomienia lub zgody.

Wszystkie aplikacje muszą też być zgodne ze wszystkimi zasadami programu dla deweloperów w Google Play, w tym z zasadami dotyczącymi danych urządzenia i użytkownika opisanymi m.in. w artykułach Niechciane oprogramowanie mobilne, Dane użytkownika, Uprawnienia i interfejsy API z dostępem do informacji poufnych czy Wymagania dotyczące pakietów SDK.

Kod, który stwarza wrażenie niegroźnego (np. gra rzekomo będąca zwykłą grą), ale w rzeczywistości wykonuje niepożądane działania skierowane przeciwko użytkownikowi.

Tej klasyfikacji używa się zwykle w połączeniu z innymi kategoriami potencjalnie szkodliwych aplikacji. Koń trojański zawiera element nieszkodliwy oraz ukryty komponent szkodliwy. Może to być na przykład gra, która bez zgody użytkownika wysyła w tle specjalne SMS-y z urządzenia.

Nowe lub rzadkie aplikacje mogą zostać uznane za nietypowe, jeśli Google Play Protect nie ma dość informacji, by zagwarantować, że są bezpieczne. Nie znaczy to, że aplikacja jest na pewno szkodliwa, jednak bez dalszej weryfikacji nie można tego wykluczyć.

Zaliczenie złośliwego oprogramowania do kategorii „tajny dostęp” zależy od zachowania, jakie wykazuje kod. Warunkiem koniecznym do zaliczenia kodu do tej kategorii jest umożliwianie przez niego działań, których automatyczne wykonanie mogłoby powodować zaliczenie tego kodu do jednej z innych kategorii złośliwego oprogramowania. Za złośliwe oprogramowanie typu „tajny dostęp” można na przykład uznać aplikację umożliwiającą dynamiczne ładowanie kodu, który następnie zacznie wyodrębniać SMS-y.

Jeśli jednak aplikacja umożliwia wykonanie dowolnego kodu, ale nie mamy podstaw, by sądzić, że jego wykonanie zostało dodane w celu podjęcia złośliwych działań, nie uznamy tej aplikacji za złośliwe oprogramowanie typu „tajny dostęp”, a jedynie stwierdzimy, że ma ona luki w zabezpieczeniach, i poprosimy dewelopera o wprowadzenie poprawki.

Aplikacja, która stosuje różnego rodzaju techniki obchodzenia zabezpieczeń, aby prezentować użytkownikom inne (fałszywe) funkcje. Tego typu aplikacje lub gry dostępne w sklepach tylko z pozoru wydają się autentyczne, a w rzeczywistości wykorzystują techniki takie jak maskowanie, zaciemnianie lub dynamiczne wczytywanie kodu, aby ukryć szkodliwe treści.

Programy typu maskware przypominają inne potencjalnie szkodliwe aplikacje, zwłaszcza trojany. Główną różnicą są tu techniki stosowane do zamaskowania szkodliwego działania.