Malware

Code, der die Ausführung von unerwünschten, potenziell schädlichen oder ferngesteuerten Vorgängen auf dem Gerät ermöglicht.

Dazu kann auch Verhalten zählen, dessen automatische Ausführung dazu führt, dass die App, das Binärprogramm oder die Framework-Änderung in eine der anderen Malwarekategorien fällt. Allgemein beschreibt der Begriff "Backdoor" einen potenziell schädlichen Vorgang auf einem Gerät, weshalb sich diese Kategorie nicht direkt mit anderen Kategorien wie dem Abrechnungsbetrug oder kommerzieller Spyware vergleichen lässt. Deshalb werden manche Backdoors unter Umständen von Google Play Protect als Sicherheitslücke eingestuft.

Code, mit dessen Hilfe Nutzern, durch absichtlich irreführende Praktiken, automatisch Kosten in Rechnung gestellt werden.

Betrug bei der Abrechnung über den Mobilfunkanbieter lässt sich in die Kategorien SMS-, Anruf- und Gebührenbetrug unterteilen.

SMS-Betrug
Code, durch den Nutzern, ohne ihre Zustimmung, das Senden von Premium-SMS in Rechnung gestellt oder versucht wird, SMS-Aktivitäten zu verschleiern. Das ist dann der Fall, wenn Offenlegungsvereinbarungen oder SMS des Mobilfunkanbieters versteckt werden, in denen der Nutzer über Gebühren informiert wird oder den Abschluss eines Abos bestätigen soll.

Für manche Codes wird zwar klar angegeben, wie sie sich in Bezug auf das Senden von SMS verhalten; das heißt aber noch nicht, dass SMS-Betrug dadurch generell ausgeschlossen werden kann. Beispiele sind das Verstecken oder Unlesbarmachen einzelner Abschnitte einer Offenlegungsvereinbarung oder das Unterdrücken von bestimmten SMS des Mobilfunkanbieters, in denen Nutzer über Gebühren informiert werden oder den Abschluss eines Abos bestätigen sollen.

Anrufbetrug
Code, durch den Nutzern Gebühren für Sonderrufnummern in Rechnung gestellt werden, obwohl sie keine Anrufe autorisiert haben.

Gebührenbetrug
Code, durch den Nutzer dazu verleitet werden, Inhalte zu abonnieren oder zu kaufen und sie über die Rechnung des Mobilfunkanbieters zu bezahlen.

Gebührenbetrug umfasst alle betrügerischen Abrechnungen mit Ausnahme von Premium-SMS und -Anrufen. Beispiele hierfür sind direkte Abrechnungen über den Mobilfunkanbieter, WAP-Betrug (Betrug über WLAN-Zugangspunkte) und Übertragungen, die über mobile Daten abgerechnet werden. WAP-Betrug zählt zu den häufigsten Arten des Gebührenbetrugs. Bei einem WAP-Betrug können Nutzer beispielsweise dazu verleitet werden, auf einem unbemerkt geladenen, transparenten WebView auf eine Schaltfläche zu klicken. Der Nutzer schließt dadurch ein Abo ab und die Bestätigungs-SMS oder -E-Mail wird in vielen Fällen gehackt, damit Nutzer die Finanztransaktion gar nicht erst bemerken.

Code, der personenbezogene oder sensible Nutzerdaten eines Geräts erhebt und die Daten zu Überwachungszwecken an einen Dritten (Unternehmen oder eine andere Person) weiterleitet

Apps müssen eine angemessene deutliche Offenlegung enthalten und entsprechend der Richtlinie zu Nutzerdaten die Einwilligung der Nutzer einholen.

Richtlinien für Überwachungs-Apps

Nur Apps, die ausschließlich für die Überwachung einer anderen Person entworfen und vermarktet werden, beispielsweise für die Überwachung von Kindern durch Eltern oder Mitarbeitern durch Unternehmensführungen, sind als Überwachungs-Apps zulässig, sofern sie die unten beschriebenen Anforderungen vollständig erfüllen. Diese Apps dürfen jedoch nicht verwendet werden, um andere Personen (z. B. einen Partner) zu überwachen, auch nicht, wenn diese davon wissen und ihre Einwilligung gegeben haben, und unabhängig davon, ob ein dauerhaft sichtbarer Hinweis angezeigt wird. In diesen Apps muss das IsMonitoringTool-Metadatenflag in der Manifestdatei verwendet werden, um sie als Überwachungs-Apps zu kennzeichnen.

Überwachungs-Apps müssen diesen Anforderungen entsprechen:

• Die Apps dürfen nicht als Lösungen zur Spionage oder geheimen Überwachung angeboten werden.
• Die Apps dürfen eine solche Nachverfolgung nicht verheimlichen oder verschleiern oder Nutzer im Hinblick auf solche Funktionen täuschen.
• In den Apps muss dem Nutzer ein dauerhaft sichtbarer Hinweis eingeblendet werden, wenn sie ausgeführt wird, sowie ein Symbol zur eindeutigen Identifikation der App.
• In der Google Play Store-Beschreibung der App müssen Überwachungs- und Tracking-Funktionen offengelegt werden.
• Apps und ihre Einträge bei Google Play dürfen es Nutzern nicht ermöglichen, Funktionen zu aktivieren, die gegen diese Richtlinien verstoßen, oder auf solche Funktionen zuzugreifen, etwa durch einen Link zu einem nicht konformen APK außerhalb von Google Play.
• Apps müssen allen anwendbaren Gesetzen entsprechen. Für die Rechtmäßigkeit Ihrer App im jeweiligen Zielland sind allein Sie verantwortlich.

Code, der dazu dient, ohne das Wissen des Nutzers einen DoS-Angriff (Denial of Service) durchzuführen, oder Code, der Teil eines dezentralen DoS-Angriffs auf andere Systeme oder Ressourcen ist.

Dies geschieht beispielsweise durch das Senden einer großen Anzahl von HTTP-Anfragen, um Remote-Server zu überlasten.

Code, der an sich zwar nicht schädlich ist, durch den aber weitere PSAs heruntergeladen werden.

In folgenden Fällen kann es sich um einen schädlichen Downloader handeln:

• Es besteht Grund zur Annahme, dass der Code zur Verbreitung von PSAs erstellt wurde und PSAs heruntergeladen hat bzw. dazu in der Lage ist, Apps herunterzuladen und zu installieren.
• Mindestens 5 % der von ihm heruntergeladenen Apps sind PSAs – der untere Grenzwert liegt hierfür bei 500 beobachteten App-Downloads (25 beobachtete PSA-Downloads).

Gängige Browser und Dateifreigabe-Apps sind keine schädlichen Downloader, solange Folgendes der Fall ist:

• Es werden keine Inhalte ohne Nutzerinteraktion heruntergeladen.
• Alle PSA-Downloads erfolgen mit der Zustimmung des Nutzers.

Code, der Bedrohungen enthält, die keine Gefahr für Android darstellen.

Diese Apps stellen zwar kein Risiko für Android-Nutzer oder -Geräte dar, können aber für andere Plattformen schädlich sein.

Code, der vorgibt, aus einer vertrauenswürdigen Quelle zu stammen, und Anmeldedaten für die Authentifizierung oder Zahlungsinformationen des Nutzers anfordert und die Daten an Dritte sendet. Auch Code, der Nutzerdaten abfängt, während diese übertragen werden, zählt zu dieser Kategorie.

Häufig sind Bankdaten, Kreditkartennummern und Anmeldedaten für soziale Netzwerke oder Spiele das Ziel von Phishing.

Code, der die Integrität des Systems dadurch gefährdet, dass er die App-Sandbox beeinträchtigt, Berechtigungen ausweitet oder den Zugriff auf sicherheitsrelevante Hauptfunktionen ändert oder deaktiviert.

Beispiele:

• Eine App, die gegen das Berechtigungsmodell von Android verstößt oder Anmeldedaten wie beispielsweise OAuth-Tokens von anderen Apps stiehlt
• Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können
• Eine App, die SELinux deaktiviert

Apps zur Rechteausweitung, die das Gerät ohne Zustimmung des Nutzers rooten, werden als Rooting-Apps eingestuft.

Code, der die teilweise oder komplette Kontrolle über ein Gerät oder Daten auf einem Gerät übernimmt und vom Nutzer eine Zahlung oder die Durchführung einer Aktion verlangt, um diese wieder freizugeben.

Manche Ransomware (Erpressungstrojaner) verschlüsselt die Daten auf dem Gerät und verlangt für die Entschlüsselung eine Zahlung. In einigen Fällen werden auch die Admin-Funktionen des Geräts verwendet, um zu verhindern, dass der Nutzer die Ransomware deinstallieren kann. Beispiele:

• Die Ransomware sperrt den Nutzer aus und verlangt im Austausch für die Kontrolle über das Gerät eine Zahlung.
• Die Daten auf dem Gerät werden verschlüsselt und die Ransomware behauptet, sie würde die Daten gegen eine Zahlung entschlüsseln.
• Die Ransomware nutzt Funktionen des Richtlinienmanagers, um die Deinstallation durch den Nutzer zu verhindern.

Code, der mit dem Gerät ausgeliefert wird und in erster Linie zur Unterstützung der Geräteverwaltung dient, wird möglicherweise nicht als Ransomware eingestuft. Dazu muss er die Anforderungen an die sichere Sperrung und Verwaltung sowie die Anforderungen zur deutlichen Offenlegung und zur Einholung der Nutzereinwilligung erfüllen.

Code, der das Gerät rootet.

Rooting-Code ist nicht immer schädlich. Nicht schädliche Rooting-Apps informieren Nutzer vorab über den Root-Vorgang und führen keine potenziell schädlichen Aktionen aus, die unter andere PSA-Kategorien fallen.

Schädliche Rooting-Apps rooten das Gerät ohne das Wissen des Nutzers oder informieren Nutzer zwar vorab über den Root-Vorgang, führen jedoch Aktionen aus, die zu anderen PSA-Kategorien zählen.

Code, der unerwünschte Nachrichten an die Kontakte des Nutzers sendet oder das Gerät zum Versenden von E-Mail-Spam verwendet.

Bei Spyware handelt es sich um schädliche Anwendungen, schädlichen Code oder schädliche Verhaltensweisen, bei denen Nutzer- oder Gerätedaten erhoben, exfiltriert oder weitergegeben werden, obwohl sie nicht mit richtlinienkonformen Funktionen in Verbindung stehen.

Schädlicher Code oder schädliche Verhaltensweisen, die als Ausspähen des Nutzers betrachtet werden können oder bei denen Daten exfiltriert werden, ohne den Nutzer ausreichend zu informieren bzw. seine Einwilligung einzuholen, werden ebenfalls als Spyware eingestuft.

Zu den Spyware-Verstößen zählen unter anderem:

• Das Aufzeichnen von Audio oder eingehenden Anrufen
• Das Stehlen von App-Daten
• Apps mit schädlichem Code von Drittanbietern (zum Beispiel SDKs), die Daten auf eine für den Nutzer unerwartete Weise vom Gerät aus versenden und/oder den Nutzer nicht ausreichend darüber informieren bzw. seine Einwilligung einholen

Außerdem muss jede App allen Google Play-Programmrichtlinien für Entwickler entsprechen, einschließlich denen zu Nutzer- und Gerätedaten wie den Richtlinien zu unerwünschter Software für Mobilgeräte, Nutzerdaten, Berechtigungen und APIs, die auf vertrauliche Informationen zugreifen und Anforderungen an SDKs.

Code, der scheinbar ungefährlich ist – beispielsweise ein Spiel, das vorgibt, nur ein Spiel zu sein –, jedoch unerwünschte Aktionen durchführt.

Diese Klassifizierung wird oft in Kombination mit anderen PSA-Kategorien verwendet. Ein Trojaner hat beispielsweise eine harmlose und eine versteckte schädliche Komponente. Beispiel: Ein Spiel, das ohne das Wissen des Nutzers im Hintergrund Premium-SMS versendet.

Apps, die neuartig oder in ihrer Art eher selten sind, können als ungewöhnlich klassifiziert werden, wenn Google Play Protect nicht ausreichend Informationen hat, um sie als sicher einzustufen. Das bedeutet nicht, dass die App gefährlich ist, nur kann sie ohne weitere Überprüfung nicht als sicher eingestuft werden.

Ob Code unter die Malwarekategorie "Backdoor" fällt, hängt von seinem Verhalten ab. Code wird nur dann als Backdoor eingestuft, wenn seine automatische Ausführung ein Verhalten ermöglicht, durch das er unter eine der anderen Malwarekategorien fällt. Wenn eine App beispielsweise das dynamische Laden von Code erlaubt und so SMS extrahiert werden, wird die App als Backdoor-Malware eingestuft.

Wenn eine App jedoch die Ausführung von beliebigem Code erlaubt und kein Grund zur Annahme besteht, dass böswilliges Verhalten dahinter steckt, spricht man stattdessen von einer Sicherheitslücke, die der Entwickler mit einem Patch beheben muss.

Eine Anwendung, die verschiedene Täuschverfahren einsetzt, um dem Nutzer abweichende oder gefälschte Anwendungsfunktionen bereitzustellen. Solche Apps tarnen sich als legitime Anwendungen oder Spiele, um in App-Shops harmlos zu wirken. Sie verwenden Techniken wie Verschleierung, dynamisches Laden von Code oder Cloaking, um schädliche Inhalte zu verbergen.

Maskware ähnelt anderen Kategorien von potenziell schädlichen Apps und insbesondere Trojanern. Der wesentliche Unterschied besteht in den Verfahren, die zur Verschleierung der Schadaktivitäten eingesetzt werden.