Kötü Amaçlı Yazılım

Bir cihazda istenmeyen, zararlı olabilecek, uzaktan kumanda edilen işlemlerin gerçekleştirilmesine olanak tanıyan kod.

Bu işlemler, otomatik olarak gerçekleştirilmeleri halinde uygulama, ikili program veya çerçeve değişikliğini diğer kötü amaçlı yazılım kategorilerinden birine sokacak davranışları içerebilir. Genel anlamda arka kapı, bir cihazda zararlı olabilecek bir işlemin nasıl gerçekleşebileceğini tanımlamak için kullanılır. Bu nedenle faturalandırma sahtekarlığı veya ticari casus yazılım gibi kategorilerle bire bir paralellik göstermez. Sonuç olarak bazı koşullar altında Google Play Protect tarafından güvenlik açığı olarak değerlendirilen bir arka kapı alt kümesi vardır.

Bilinçli bir şekilde yanıltarak kullanıcıdan otomatik olarak ödeme alan kod.

Mobil faturalandırma sahtekarlığı; SMS sahtekarlığı, Telefonla arama sahtekarlığı ve Ücret sahtekarlığı olarak üçe ayrılır.

SMS Sahtekarlığı
İzinsiz bir şekilde premium SMS göndermek için kullanıcılardan ödeme alan ya da mobil operatörün kullanıcıyı ücretler konusunda bilgilendirmek veya abonelikleri onaylamak amacıyla gönderdiği SMS mesajlarını ya da gizlilik sözleşmelerini gizleyerek kendi SMS etkinliklerini saklamaya çalışan kod.

Bazı kodlar, SMS gönderme davranışını teknik olarak açıklasa da SMS sahtekarlığı kapsamına giren başka davranışlarda bulunur. Örneğin, gizlilik sözleşmesinin bazı kısımlarını kullanıcıdan saklamak, bunları okunamaz hale getirmek ve mobil operatörün kullanıcıyı ücretler konusunda bilgilendirmek veya abonelikleri onaylamak amacıyla gönderdiği SMS mesajlarını yerine göre ortadan kaldırmak.

Telefonla Arama Sahtekarlığı
Kullanıcının izni olmadan premium numaraları arayarak kullanıcıdan ödeme alan kod.

Ücret Sahtekarlığı
Kullanıcıları kandırarak cep telefonu faturaları üzerinden içerik satın almaya veya içeriklere abone olmaya yönlendiren kod.

Ücret Sahtekarlığı, premium SMS ve premium arama hariç her türlü faturalandırmayı kapsar. Örneğin, doğrudan operatör faturalandırması, kablosuz erişim noktası (WAP) ve mobil kontör aktarımı. WAP sahtekarlığı, Ücret sahtekarlığı türleri arasında en yaygın olarak görülenlerden biridir. WAP sahtekarlığında kullanıcılar kandırılarak sessizce yüklenen, şeffaf bir Web Görünümü üzerindeki bir düğmeyi tıklamaları sağlanır. İşlem gerçekleştirildikten sonra yinelenen bir abonelik başlatılır ve kullanıcıların finansal işlemi fark etmesini önlemek için genellikle onay SMS'i veya e-postası ortadan kaldırılır.

İzleme amacıyla cihazlardan kişisel veya hassas kullanıcı verilerini toplayıp üçüncü taraflara (şirket veya başka bir şahıs) aktaran kod.

Uygulamalar, Kullanıcı Verileri Politikası uyarınca öne çıkan açıklama sağlamalı ve kullanıcılardan izin almalıdır.

İzleme Uygulamalarıyla İlgili Yönergeler

Kabul edilebilir yegane izleme uygulamaları; aşağıda açıklanan şartlara bütünüyle uymaları koşuluyla, özel olarak başka bir kişinin izlenmesi (ör. ebeveynlerin çocuklarını izlemeleri veya şirket yönetiminin çalışanları izlemesi) amacıyla tasarlanmış ve bu şekilde pazarlanan uygulamalardır. Bu uygulamalar, kalıcı bildirim görüntülenmesinden bağımsız olarak haberi ve izni olsa dahi herhangi başka bir kişiyi (örneğin, eşi) takip etmek için kullanılamaz. Bu uygulamaların kendilerini izleme uygulamaları olarak tanımlayabilmesi için manifest dosyalarında IsMonitoringTool meta veri işaretini kullanması gerekir.

İzleme uygulamalarının uyması gereken şartlar şunlardır:

• Uygulamalar, kendilerini casusluk veya gizli izleme çözümü olarak sunmamalıdır.
• Uygulamalar, izleme davranışını saklamamalı veya gizlememeli ya da kullanıcıları, bu tür işlevlerle ilgili olarak yanlış yönlendirmeye çalışmamalıdır.
• Uygulamalar, kullanıcıya uygulama çalıştığı sürece kalıcı bir bildirim ve uygulamayı açıkça tanımlayan benzersiz bir simge sunmalıdır.
• Uygulamalar, izleme veya takip işlevini Google Play Store açıklamasında belirtmelidir.
• Google Play'deki uygulamalar ve uygulama girişleri, hiçbir şekilde bu şartları ihlal eden işlevleri etkinleştirmemeli veya bu tür işlevlere erişim sağlamamalıdır (ör. Google Play dışında barındırılan ve uyumlu olmayan bir APK'ya bağlantı vererek).
• Uygulamalar tüm geçerli yasalara uymalıdır. Uygulamanızın, hedeflendiği yerel bölgede yasal olup olmadığını belirleme konusunda tüm sorumluluk size aittir.

Kullanıcının bilgisi olmadan bir hizmet reddi (DoS) saldırısı gerçekleştiren ya da diğer sistem ve kaynaklara karşı düzenlenen dağıtılmış DoS saldırısının bir parçası olan kod.

Bu, örneğin uzak sunucular üzerinde aşırı yük oluşturmak için çok sayıda HTTP isteği göndererek gerçekleştirilebilir.

Kendi başına zararlı olmayan, ancak başka PHA'lar indiren kod.

Aşağıdaki durumlarda kodun zararlı bir indirme aracı olduğu söylenebilir:

• Kodun PHA'ları yaymak için oluşturulduğuna veya PHA'ları indirdiğine ya da uygulama indirip yükleyebilen kod içerdiğine dair göstergeler varsa veya
• Kod tarafından indirilen uygulamaların en az %5'i, minimum 500 gözlenen uygulama indirme eşiğine sahip PHA'lar ise (25 gözlenen PHA indirme işlemi).

Belli başlı tarayıcılar ve dosya paylaşımı uygulamaları aşağıdaki durumlarda zararlı indirme aracı olarak değerlendirilmez:

• Kullanıcı etkileşimi olmadan indirme işlemi başlatmıyorsa ve
• Tüm PHA indirme işlemleri, izin veren kullanıcılar tarafından başlatılıyorsa.

Android dışı tehditler içeren kod.

Bu uygulamalar Android cihazlara veya kullanıcılarına zarar veremez, ancak diğer platformlar için zararlı olabilecek bileşenler içerir.

Güvenilir bir kaynaktan geliyormuş gibi görünen, kullanıcıların kimlik doğrulama veya fatura bilgilerini isteyen ve verileri üçüncü bir tarafa gönderen kod. Bu kategori, iletim halindeki kullanıcı kimlik bilgilerinin iletimini engelleyen kodlar için de geçerlidir.

Kimlik avının en yaygın hedefleri bankacılıkta kullanılan kimlik bilgileri, kredi kartı numaraları ve sosyal ağlar ile oyunlarda kullanılan online hesap kimlik bilgileridir.

Uygulamanın korumalı alanını kırarak, üst düzey ayrıcalıklar elde ederek veya güvenlikle ilgili temel işlevlere erişimi değiştirerek ya da devre dışı bırakarak sistem bütünlüğünün güvenliğini tehlikeye atan kod.

Örnek olarak şunlar verilebilir:

• Android izin modelini ihlal eden veya diğer uygulamalardan kimlik bilgilerini (ör. OAuth jetonları) çalan bir uygulama.
• Yüklemelerinin kaldırılmasını veya durdurulmalarını önleyen özellikleri kötüye kullanan uygulamalar.
• SELinux'u devre dışı bırakan bir uygulama.

Kullanıcı izni olmadan cihazları rootlayan ayrıcalık artırma uygulamaları, rootlama uygulamaları olarak sınıflandırılır.

Bir cihazın veya cihazdaki verilerin kontrolünü kısmen ya da büyük ölçüde ele geçiren ve kontrolü bırakmak için kullanıcıdan bir işlem gerçekleştirmesini veya ödeme yapmasını isteyen kod.

Bazı fidye yazılımları cihazdaki verileri şifreler ve verilerin şifresini çözmek için ödeme yapılmasını ister ve/veya cihaz yöneticisi özelliklerinden yararlanarak şifrelemenin sıradan bir kullanıcı tarafından kaldırılamamasını sağlar. Örnek olarak şunlar verilebilir:

• Bir kullanıcının cihazını kilitleyerek erişilemez hale getirdikten sonra kullanıcıya kontrolü geri vermek için para talep etmek.
• Cihazdaki verileri şifreledikten sonra görünürde verilerin şifresini çözmek için para talep etmek.
• Cihaz politika yöneticisinin özelliklerinden yararlanarak kullanıcı tarafından kaldırılmayı engellemek.

Asıl amacı sübvansiyonlu cihaz yönetimi olan cihazla dağıtılan kod, güvenli kilitleme ve yönetim gereksinimlerinin yanı sıra yeterli kullanıcı açıklaması ve izin gereksinimlerini başarılı bir şekilde yerine getiriyorsa fidye yazılım kategorisinin dışında tutulabilir.

Cihazı rootlayan kod.

Kötü amaçlı olan ve olmayan rootlama kodu arasında fark vardır. Örneğin, kötü amaçlı olmayan rootlama uygulamaları, cihazı rootlayacaklarını önceden kullanıcıya bildirir ve diğer PHA kategorileri için geçerli olan, zararlı olabilecek başka işlemler gerçekleştirmez.

Kötü amaçlı rootlama uygulamaları, cihazı rootlayacaklarını kullanıcıya bildirmez ya da bunu önceden bildirse bile diğer PHA kategorileri için geçerli olan başka işlemler de gerçekleştirir.

Kullanıcının kişilerine istenmeyen mesajlar gönderen veya cihazı bir e-posta spam aracı olarak kullanan kod.

Casus yazılım, politikayla uyumlu işlevlerle ilgili olmayan kullanıcı ya da cihaz verilerini toplayan, çalan veya paylaşan kötü amaçlı bir uygulama, kod ya da davranıştır.

Kullanıcıyı gizlice izleme kapsamında değerlendirilebilecek veya yeterli bildirim ya da izin olmaksızın verileri çalan kötü amaçlı kod veya davranışlar da casus yazılım olarak kabul edilir.

Örneğin, bunlarla sınırlı olmamakla birlikte casus yazılım ihlallerine şu örnekler verilebilir:

• Sesleri veya telefona gelen aramaları kaydetme
• Uygulama verilerini çalma
• Kullanıcının beklemediği bir şekilde ve/veya yeterli kullanıcı bildirimi ya da izni olmaksızın cihazdaki verileri aktaran kötü amaçlı üçüncü taraf kodu (örneğin, SDK) içeren uygulama

Tüm uygulamalar aynı zamanda İstenmeyen Mobil Yazılım, Kullanıcı Verileri, Hassas Bilgilere Erişen İzinler ve API'ler, SDK Şartları gibi kullanıcı ve cihaz verileri politikaları dahil olmak üzere tüm Google Play Geliştirici Program Politikaları'na da uymalıdır.

Tehlikesiz gibi görünen (ör. yalnızca oyun olduğunu iddia eden bir oyun), ancak kullanıcıya karşı istenmeyen işlemler gerçekleştiren kod.

Bu sınıflandırma genellikle diğer PHA kategorileriyle birlikte kullanılır. Bir truva atı hem tehlikesiz bir bileşen hem de gizli bir zararlı bileşen içerir. Örneğin, kullanıcının haberi olmadan arka planda cihazından premium SMS mesajları gönderen bir oyun.

Google Play Protect'in güvenli olarak değerlendirebilmek için yeterli bilgiye sahip olmadığı yeni ve nadir kullanılan uygulamalar, yaygın olmayan uygulamalar olarak sınıflandırılabilir. Bu, uygulamanın zararlı olduğu anlamına gelmez, ancak güvenli olarak sınıflandırılabilmesi için daha fazla inceleme yapılması gerekir.

Arka kapı kötü amaçlı yazılım kategori sınıflandırması, kodun çalışma şekline göre yapılır. Bir kodun arka kapı olarak sınıflandırılması için, otomatik olarak gerçekleştirilmesi halinde kodu diğer kötü amaçlı yazılım kategorilerinden birine sokacak bir davranışa olanak tanıması gerekir. Örneğin, bir uygulama, dinamik kod yüklemeye izin veriyor ve dinamik olarak yüklenen kod, kısa mesajları çıkartıyorsa arka kapı kötü amaçlı yazılım olarak sınıflandırılır.

Bununla birlikte, bir uygulama rastgele kod çalıştırmaya izin veriyorsa ve bu kod çalıştırma işleminin kötü amaçlı bir davranış gerçekleştirmek amacıyla eklendiğine dair bir gösterge yoksa uygulama arka kapı kötü amaçlı yazılım değil, güvenlik açığı içeren bir uygulama olarak değerlendirilir ve geliştiriciden buna yama eklemesi istenir.

Kullanıcıya farklı veya sahte uygulama işlevi sunmak için çeşitli kaçınma tekniklerinden yararlanan uygulamalardır. Bu uygulamalar, uygulama mağazalarına zararsız görünmek için kendilerini meşru uygulamalar veya oyunlar olarak maskeler ve kötü amaçlı içeriğin fark edilmemesi için kod karartma, dinamik kod yükleme veya gizleme gibi teknikler kullanır.

Maskeli yazılımlar, başta truva atı olmak üzere diğer PHA kategorilerine benzer. Aralarındaki temel fark, kötü amaçlı etkinliği gizlemek için farklı tekniklerin kullanılmasıdır.