Злонамерен софтуер

Код, който позволява изпълнението на нежелани, потенциално опасни и отдалечено контролирани операции на дадено устройство.

Тези операции може да включват поведение, при чиято автоматична проява приложението, двоичният код или промяната в софтуерната рамка може да попаднат в една от другите категории злонамерен софтуер. По принцип „задната врата“ представлява описание на това, как потенциално опасно действие може да бъде извършено на устройство, и поради тази причина не попада изцяло в категории като измама с таксуване или комерсиален шпиониращ софтуер. В резултат на това при определени обстоятелства Google Play Protect третира някои „задни врати“ като уязвимост.

Код, чрез който потребителят автоматично се таксува по целенасочено подвеждащ начин.

Измамата с мобилно таксуване се дели на няколко вида – с SMS, с обаждания и с начисляване на такса.

Измама с SMS
Код, при който без съгласието на потребителите те се таксуват за изпращането на SMS с допълнителна такса, или код, който се опитва да прикрие действията си с SMS, като крие споразуменията за разкриване на информация или SMS съобщенията от мобилния оператор, уведомяващи потребителя за таксите или потвърждаващи абонаментите.

Някои видове код, макар технически да разкриват изпращането на SMS, имат и друго поведение, с което се извършват измами с SMS. Примерите включват скриването от потребителя на части от споразумението за разкриване на информация, като се правят нечетими, и спирането при определени условия на SMS съобщенията от мобилния оператор, уведомяващи потребителя за таксите или потвърждаващи абонаментите.

Измама с обаждания
Код, при който потребителите се таксуват, като без тяхно съгласие се извършват обаждания до номера с допълнително таксуване.

Измама с начисляване на такса
Код, който подвежда потребителите да се абонират или да купят съдържание чрез сметката за мобилния си телефон.

Измамите с начисляване на такса включват всички типове таксуване без тези от SMS съобщенията и обажданията с допълнителни такси. Примерите включват директно таксуване от оператор, безжична точка за достъп (WAP) и прехвърляне на кредити за мобилната мрежа. Измамата с WAP е една от най-често срещаните измами с начисляване на такса. Тя може да включва подвеждане на потребителите да кликнат върху бутон в негласно зареден прозрачен компонент WebView. При извършването на това действие се стартира подновяващ се абонамент и често SMS съобщението или имейлът за потвърждение се прехващат, така че потребителите да не забележат финансовата транзакция.

Код, който събира лични или поверителни потребителски данни от дадено устройство и ги предава на трета страна (организация или физическо лице) с цел наблюдение.

Приложенията трябва да разкриват съответната информация по ясен начин и да получат съгласие, както се изисква в правилата за потребителските данни.

Указания за приложенията за наблюдение

Единствените приемливи приложения за наблюдение са тези, които са изрично проектирани и се предлагат за наблюдение на други лица (например за родители, за да наблюдават децата си, или за корпоративно управление с цел наблюдението на отделни служители), при условие че напълно отговарят на описаните по-долу изисквания. Тези приложения не могат да се използват за следене на други хора (например съпруг или съпруга) дори ако човекът е уведомен и е дал разрешение за това, независимо дали се показва постоянно известие. Тези приложения трябва да използват във файла на манифеста си флага за метаданни IsMonitoringTool, за да бъдат представяни правилно като приложения за наблюдение.

Приложенията за наблюдение трябва да спазват следните изисквания:

• Не трябва да се представят като решения за шпиониране или тайно наблюдение.
• Не трябва да скриват или прикриват проследяващото поведение, нито да опитват да подвеждат потребителите относно подобна функционалност.
• Трябва да показват постоянно известие винаги когато се изпълняват, както и уникална икона, която ясно да идентифицира съответното приложение.
• Функционалността на приложенията за наблюдение или проследяване трябва да е ясно посочена в описанието в Google Play Магазин.
• Приложенията и малките им обяви в Google Play не трябва да осигуряват средства за активиране на или достъп до функционалност, която нарушава тези условия, като например връзки към неспазващ правилата APK файл, хостван извън Google Play.
• Приложенията трябва да спазват всички приложими закони. Вие носите цялата отговорност за определяне на законността на приложението си в целевите локали.

Код, който без знанието на потребителя извършва атака за отказ от обслужване (DoS) или е част от разпределена DoS атака срещу други системи и ресурси.

Например това може да се случи чрез изпращането на голям брой HTTP заявки с цел създаване на прекомерно натоварване на отдалечени сървъри.

Код, който сам по себе си не е потенциално опасен, но изтегля други PHA.

Даден код може да е злонамерен инструмент за изтегляне, ако:

• има причина да смятаме, че е създаден, за да разпространява PHA, и е изтеглил такива приложения, или съдържа код, който може да изтегля и инсталира приложения; или
• поне 5% от изтеглените чрез него приложения са PHA с минимален праг от 500 наблюдавани изтегляния на приложения (25 наблюдавани изтегляния на PHA).

Основните браузъри и приложения за споделяне на файлове не се смятат за злонамерени инструменти за изтегляне, при условие че:

• не водят до изтегляне без взаимодействие с потребителя; и
• всички изтегляния на PHA са започнати от потребители, които са дали съгласието си.

Код, съдържащ заплахи, които не се отнасят за Android.

Тези приложения не могат да навредят на потребителя или устройството с Android, но съдържат компоненти, които са потенциално опасни за други платформи.

Код, за който се твърди, че е от надежден източник, иска идентификационните данни или платежната информация на потребителя и ги изпраща на трета страна. Тази категория се отнася и за програми, които прихващат потребителските идентификационни данни при предаването им.

Някои от най-често срещаните обекти на фишинг атаките са банковите идентификационни данни, номерата на кредитни карти и данните за вход в онлайн профили за социални мрежи и игри.

Код, който компрометира целостта на системата чрез пробив в тестовата среда за приложения, получаване на администраторски права или промяна или деактивиране на достъп до основни функции, свързани със сигурността.

Примерите включват:

• Приложения, които нарушават модела за разрешения на Android или крадат идентификационни данни (например означения за OAuth) от други приложения.
• Приложения, които злоупотребяват с функции, за да предотвратят деинсталирането или спирането си.
• Приложения, които деактивират SELinux.

Приложения, които си осигуряват администраторски права и получават пълноправен достъп до устройствата без разрешението на потребителите, се класифицират като приложения за пълноправен достъп.

Код, който поема частичен или пълен контрол над устройството или данните му и иска от потребителя да направи плащане или да извърши действие, за да си възвърне контрола.

Някои видове рансъмуер шифроват данните на устройството и изискват плащане, за да ги разшифроват, и/или използват администраторските му функции, така че да предотвратят премахването си от обикновени потребители. Примерите включват:

• Заключване на устройството и искане на пари за възстановяване на контрола на потребителя.
• Шифроване на данните на устройството и искане на плащане за евентуалното им разшифроване.
• Използване на функциите за управление на правилата за устройството и блокиране на премахването от потребителя.

Разпространяван с устройството код, чиято основна цел е субсидирано управление на устройството, може да бъде изключен от категорията за рансъмуер, при условие че отговаря на критериите за сигурно заключване и управление и на изискванията за разкриване на необходимата информация на потребителите и получаване на съгласие от тях.

Код, който дава пълноправен достъп до устройството.

Има разлика между злонамерен и незлонамерен код, който дава пълноправен достъп. Например незлонамерените приложения, даващи пълноправен достъп, уведомяват потребителя, че до устройството ще бъде даден пълноправен достъп, и не изпълняват други потенциално опасни действия, които се отнасят за други категории PHA

Злонамерените приложения, даващи пълноправен достъп до устройството, не уведомяват потребителя за това или пък го правят, но същевременно изпълняват други действия, които се отнасят за други категории PHA.

Код, който изпраща нежелани съобщения до контактите на потребителя или използва устройството като средство за разпространение на спам по имейл.

Шпиониращият софтуер е злонамерено приложение, код или действие за събиране, извличане или споделяне на потребителски данни или данни от устройството за цели, които не са свързани със спазващата правилата функционалност.

Злонамереният код и действията, които могат да бъдат сметнати за шпиониране на потребителя или при които се извличат данни без съответното известие или получаване на съгласие, също може да попаднат в категорията за шпиониращ софтуер.

Следват примери за нарушения, категоризирани като шпиониращ софтуер, като списъкът не е изчерпателен:

• записване на аудио или входящи обаждания;
• кражба на данни на приложения;
• приложение със злонамерен код на трета страна (например SDK), който предава данни извън устройството по неочакван за потребителя начин и/или без съответното известие или без съгласието на потребителя.

Приложенията трябва също да спазват всички програмни правила за програмистите в Google Play, включително тези за потребителските данни и данните от устройството, като например правилата относно нежелания софтуер на мобилни устройства, потребителските данни и разрешенията и API, които осъществяват достъп до поверителна информация, както и изискванията за SDK.

Код, който изглежда злонамерен – например игра, за която се твърди, че е само игра, но всъщност извършва нежелани действия срещу потребителя.

Тази класификация обикновено се използва в комбинация с други категории за потенциално опасни приложения. Троянският кон съдържа един безобиден и един скрит, опасен компонент. Пример за това е игра, която изпраща платени SMS съобщения от устройството на потребителя на заден план и без негово знание.

Възможно е нови и редки приложения да бъдат класифицирани като необичайни, ако Google Play Protect няма достатъчно информация, за да ги определи за безопасни. Това не означава непременно, че дадено приложение е опасно, но за да се потвърди обратното, е необходим допълнителен преглед.

Класификацията в категорията за злонамерен софтуер със „задна врата“ се основава на поведението на кода. За да бъде дадена програма класифицирана като осигуряваща „задна врата“, тя трябва да позволява поведение, при чиято автоматична проява кодът ще попадне в една от другите категории за злонамерен софтуер. Ако например дадено приложение допуска зареждането на динамичен код за извличане на SMS съобщения, то ще бъде класифицирано като злонамерен софтуер, осигуряващ „задна врата“.

Ако обаче дадено приложение дава възможност за изпълнение на произволен код и нямаме причина да смятаме, че целта на това изпълнение е извършване на злонамерено действие, тогава приложението ще се третира като такова с уязвимост, а не като злонамерен софтуер, осигуряващ „задна врата“, и програмистът ще бъде помолен да го коригира.

Приложение, което използва разнообразни техники за укриване, за да показва на потребителите различна или фалшива функционалност. Тези приложения се маскират като отговарящи на изискванията приложения или игри, за да се показват като безобидни в магазините с приложения, и използват различни техники, като например маскиране, зареждане на динамичен код или прикриване, за да показват злонамерено съдържание.

Маскиращият софтуер (маскуер) е подобен на други категории PHA, по-конкретно на троянския кон, като основната разлика е в техниката, използвана за маскиране на злонамерената активност.