Злонамерен софтуер

Правилата ни за злонамерения софтуер са прости – екосистемата на Android, включително Google Play Магазин, и устройствата на потребителите не трябва да бъдат обект на опасно (т.е. злонамерено) поведение. Това е основният принцип, въз основа на който се стремим да осигуряваме екосистема на Android, която е безопасна за потребителите и устройствата им.

Злонамерен софтуер е всеки код, който може да застраши даден потребител, данните или устройството му. Злонамереният софтуер включва, без изброяването да е изчерпателно, потенциално опасни приложения, двоичен код или промени в софтуерната рамка и се състои от различни категории, като например троянски коне, приложения за фишинг и шпиониращ софтуер. Непрекъснато актуализираме списъка с категории и добавяме нови.

Въпреки че се различава по тип и възможности, злонамереният софтуер обикновено има една от следните цели:

Компрометиране на целостта на устройството на потребителя.
Установяване на контрол над устройството на потребителя.
Даване на възможност за извършване на отдалечени действия, чрез които хакер да получи достъп до заразено устройство, да го използва или да се възползва от него по друг начин.
Предаване на лични или идентификационни данни извън устройството без съответното съобщение за разкриване и без получаване на съгласие.
Разпространяване на спам или команди от заразеното устройство с цел да се повлияе на други устройства или мрежи.
Подвеждане на потребителя.

Дадено приложение, двоичен код или промяна в софтуерната рамка могат да бъдат потенциално опасни и така да създадат предпоставка за злонамерено поведение, дори да не са били предназначени за това. Причината е, че приложенията, двоичният код и промените в софтуерната рамка могат да функционират различно в зависимост от редица променливи. Това означава, че нещо, което е опасно за едно устройство с Android, може да не представлява никакъв риск за друго. Например устройство с най-новата версия на Android не е засегнато от опасни приложения, които използват оттеглени API за злонамерени цели, но такова с много стара версия на Android може да е застрашено. Приложения, двоичен код или промени в софтуерната рамка се означават като злонамерен софтуер или като потенциално опасни, ако е ясно, че представляват риск за някои или всички устройства с Android и потребители на операционната система.

Категориите злонамерен софтуер по-долу са отражение на фундаменталния ни принцип, че потребителите трябва да разбират как се използва устройството им, и на стремежа ни за създаване на сигурна екосистема, която дава възможност за устойчиви нововъведения и надеждна практическа работа на потребителите.

За повече информация посетете Google Play Protect.

СВИВАНЕ НА ВСИЧКИ РАЗГЪВАНЕ НА ВСИЧКИ

Задни врати

Код, който позволява изпълнението на нежелани, потенциално опасни и отдалечено контролирани операции на дадено устройство.

Тези операции може да включват поведение, при чиято автоматична проява приложението, двоичният код или промяната в софтуерната рамка може да попаднат в една от другите категории злонамерен софтуер. По принцип „задната врата“ представлява описание на това, как потенциално опасно действие може да бъде извършено на устройство, и поради тази причина не попада изцяло в категории като измама с таксуване или комерсиален шпиониращ софтуер. В резултат на това при определени обстоятелства Google Play Protect третира някои „задни врати“ като уязвимост.

Измама с таксуване

Код, чрез който потребителят автоматично се таксува по целенасочено подвеждащ начин.

Измамата с мобилно таксуване се дели на няколко вида – с SMS, с обаждания и с начисляване на такса.

Измама с SMS
Код, при който без съгласието на потребителите те се таксуват за изпращането на SMS с допълнителна такса, или код, който се опитва да прикрие действията си с SMS, като крие споразуменията за разкриване на информация или SMS съобщенията от мобилния оператор, уведомяващи потребителя за таксите или потвърждаващи абонаментите.

Някои видове код, макар технически да разкриват изпращането на SMS, имат и друго поведение, с което се извършват измами с SMS. Примерите включват скриването от потребителя на части от споразумението за разкриване на информация, като се правят нечетими, и спирането при определени условия на SMS съобщенията от мобилния оператор, уведомяващи потребителя за таксите или потвърждаващи абонаментите.

Измама с обаждания
Код, при който потребителите се таксуват, като без тяхно съгласие се извършват обаждания до номера с допълнително таксуване.

Измама с начисляване на такса
Код, който подвежда потребителите да се абонират или да купят съдържание чрез сметката за мобилния си телефон.

Измамите с начисляване на такса включват всички типове таксуване без тези от SMS съобщенията и обажданията с допълнителни такси. Примерите включват директно таксуване от оператор, безжична точка за достъп (WAP) и прехвърляне на кредити за мобилната мрежа. Измамата с WAP е една от най-често срещаните измами с начисляване на такса. Тя може да включва подвеждане на потребителите да кликнат върху бутон в негласно зареден прозрачен компонент WebView. При извършването на това действие се стартира подновяващ се абонамент и често SMS съобщението или имейлът за потвърждение се прехващат, така че потребителите да не забележат финансовата транзакция.

Шпионски софтуер

Код, който събира лични или поверителни потребителски данни от дадено устройство и ги предава на трета страна (организация или физическо лице) с цел наблюдение.

Приложенията трябва да разкриват съответната информация по ясен начин и да получат съгласие, както се изисква в правилата за потребителските данни.

Указания за приложенията за наблюдение

Единствените приемливи приложения за наблюдение са тези, които са изрично проектирани и се предлагат за наблюдение на други лица (например за родители, за да наблюдават децата си, или за корпоративно управление с цел наблюдението на отделни служители), при условие че напълно отговарят на описаните по-долу изисквания. Тези приложения не могат да се използват за следене на други хора (например съпруг или съпруга) дори ако човекът е уведомен и е дал разрешение за това, независимо дали се показва постоянно известие. Тези приложения трябва да използват във файла на манифеста си флага за метаданни IsMonitoringTool, за да бъдат представяни правилно като приложения за наблюдение.

Приложенията за наблюдение трябва да спазват следните изисквания:

Не трябва да се представят като решения за шпиониране или тайно наблюдение.
Не трябва да скриват или прикриват проследяващото поведение, нито да опитват да подвеждат потребителите относно подобна функционалност.
Трябва да показват постоянно известие винаги когато се изпълняват, както и уникална икона, която ясно да идентифицира съответното приложение.
Функционалността на приложенията за наблюдение или проследяване трябва да е ясно посочена в описанието в Google Play Магазин.
Приложенията и малките им обяви в Google Play не трябва да осигуряват средства за активиране на или достъп до функционалност, която нарушава тези условия, като например връзки към неспазващ правилата APK файл, хостван извън Google Play.
Приложенията трябва да спазват всички приложими закони. Вие носите цялата отговорност за определяне на законността на приложението си в целевите локали.

За повече информация, моля, разгледайте статията Използване на флага IsMonitoringTool в Помощния център.

Отказ от обслужване (DoS)

Код, който без знанието на потребителя извършва атака за отказ от обслужване (DoS) или е част от разпределена DoS атака срещу други системи и ресурси.

Например това може да се случи чрез изпращането на голям брой HTTP заявки с цел създаване на прекомерно натоварване на отдалечени сървъри.

Злонамерени инструменти за изтегляне

Код, който сам по себе си не е потенциално опасен, но изтегля други PHA.

Даден код може да е злонамерен инструмент за изтегляне, ако:

има причина да смятаме, че е създаден, за да разпространява PHA, и е изтеглил такива приложения, или съдържа код, който може да изтегля и инсталира приложения; или
поне 5% от изтеглените чрез него приложения са PHA с минимален праг от 500 наблюдавани изтегляния на приложения (25 наблюдавани изтегляния на PHA).

Основните браузъри и приложения за споделяне на файлове не се смятат за злонамерени инструменти за изтегляне, при условие че:

не водят до изтегляне без взаимодействие с потребителя; и
всички изтегляния на PHA са започнати от потребители, които са дали съгласието си.

Заплаха, която не се отнася за Android

Код, съдържащ заплахи, които не се отнасят за Android.

Тези приложения не могат да навредят на потребителя или устройството с Android, но съдържат компоненти, които са потенциално опасни за други платформи.

Фишинг

Код, за който се твърди, че е от надежден източник, иска идентификационните данни или платежната информация на потребителя и ги изпраща на трета страна. Тази категория се отнася и за програми, които прихващат потребителските идентификационни данни при предаването им.

Някои от най-често срещаните обекти на фишинг атаките са банковите идентификационни данни, номерата на кредитни карти и данните за вход в онлайн профили за социални мрежи и игри.

Злоупотреба с администраторски права

Код, който компрометира целостта на системата чрез пробив в тестовата среда за приложения, получаване на администраторски права или промяна или деактивиране на достъп до основни функции, свързани със сигурността.

Примерите включват:

Приложения, които нарушават модела за разрешения на Android или крадат идентификационни данни (например означения за OAuth) от други приложения.
Приложения, които злоупотребяват с функции, за да предотвратят деинсталирането или спирането си.
Приложения, които деактивират SELinux.

Приложения, които си осигуряват администраторски права и получават пълноправен достъп до устройствата без разрешението на потребителите, се класифицират като приложения за пълноправен достъп.

Рансъмуер

Код, който поема частичен или пълен контрол над устройството или данните му и иска от потребителя да направи плащане или да извърши действие, за да си възвърне контрола.

Някои видове рансъмуер шифроват данните на устройството и изискват плащане, за да ги разшифроват, и/или използват администраторските му функции, така че да предотвратят премахването си от обикновени потребители. Примерите включват:

Заключване на устройството и искане на пари за възстановяване на контрола на потребителя.
Шифроване на данните на устройството и искане на плащане за евентуалното им разшифроване.
Използване на функциите за управление на правилата за устройството и блокиране на премахването от потребителя.

Разпространяван с устройството код, чиято основна цел е субсидирано управление на устройството, може да бъде изключен от категорията за рансъмуер, при условие че отговаря на критериите за сигурно заключване и управление и на изискванията за разкриване на необходимата информация на потребителите и получаване на съгласие от тях.

Даване на пълноправен достъп

Код, който дава пълноправен достъп до устройството.

Има разлика между злонамерен и незлонамерен код, който дава пълноправен достъп. Например незлонамерените приложения, даващи пълноправен достъп, уведомяват потребителя, че до устройството ще бъде даден пълноправен достъп, и не изпълняват други потенциално опасни действия, които се отнасят за други категории PHA

Злонамерените приложения, даващи пълноправен достъп до устройството, не уведомяват потребителя за това или пък го правят, но същевременно изпълняват други действия, които се отнасят за други категории PHA.

Спам

Код, който изпраща нежелани съобщения до контактите на потребителя или използва устройството като средство за разпространение на спам по имейл.

Шпиониращ софтуер

Код, който предава лична информация извън устройството без съответното съобщение или получаване на съгласие.

Например предаването на някои от следните данни без предупреждение или по неочакван за потребителя начин е достатъчно основание софтуерът да бъде сметнат за шпиониращ:

списък с контакти;
снимки или други файлове от SD картата или такива, които не са собственост на приложението;
съдържание от електронната поща на потребителя;
списък с обажданията;
списък с SMS съобщенията;
история на сърфиране в мрежата или отметки в стандартния браузър;
информация от директориите с данни на други приложения.

Действията, които могат да бъдат сметнати за шпиониране на потребителя, също може да попаднат в категорията за шпиониращ софтуер. Това включва например записването на аудио или входящи обаждания, както и кражбата на данни на приложения.

Троянски кон

Код, който изглежда злонамерен – например игра, за която се твърди, че е само игра, но всъщност извършва нежелани действия срещу потребителя.

Тази класификация обикновено се използва в комбинация с други категории за потенциално опасни приложения. Троянският кон съдържа един безобиден и един скрит, опасен компонент. Пример за това е игра, която изпраща платени SMS съобщения от устройството на потребителя на заден план и без негово знание.

Забележка относно необичайните приложения

Възможно е нови и редки приложения да бъдат класифицирани като необичайни, ако Google Play Protect няма достатъчно информация, за да ги определи за безопасни. Това не означава непременно, че дадено приложение е опасно, но за да се потвърди обратното, е необходим допълнителен преглед.

Забележка за категорията „Задни врати“

Класификацията в категорията за злонамерен софтуер със „задна врата“ се основава на поведението на кода. За да бъде дадена програма класифицирана като осигуряваща „задна врата“, тя трябва да позволява поведение, при чиято автоматична проява кодът ще попадне в една от другите категории за злонамерен софтуер. Ако например дадено приложение допуска зареждането на динамичен код за извличане на SMS съобщения, то ще бъде класифицирано като злонамерен софтуер, осигуряващ „задна врата“.

Ако обаче дадено приложение дава възможност за изпълнение на произволен код и нямаме причина да смятаме, че целта на това изпълнение е извършване на злонамерено действие, тогава приложението ще се третира като такова с уязвимост, а не като злонамерен софтуер, осигуряващ „задна врата“, и програмистът ще бъде помолен да го коригира.

Това полезно ли бе?

Как можем да направим подобрения?