Malware

Ons malwarebeleid is simpel: het Android-ecosysteem, inclusief de Google Play Store, en apparaten van gebruikers moeten vrij zijn van kwaadwillend gedrag (d.w.z. malware). Met behulp van dit fundamentele beginsel streven we ernaar om een beveiligd Android-ecosysteem te bieden voor onze gebruikers en hun Android-apparaten.

Malware is elke code die een gebruiker, de gegevens van een gebruiker of een apparaat in gevaar brengt. Malware omvat, maar is niet beperkt tot, potentieel schadelijke apps (Potentially Harmful Applications, PHA), binaire bestanden of frameworkaanpassingen, bestaande uit categorieën zoals Trojaanse paarden, phishing en spyware-apps. We updaten deze lijst voortdurend door nieuwe categorieën toe te voegen.

Hoewel er verschillende typen malware zijn met verschillende mogelijkheden, heeft malware meestal een van de volgende doelen:

  • De integriteit van het apparaat van de gebruiker in gevaar brengen.
  • De controle verkrijgen over het apparaat van een gebruiker.
  • Activiteiten op afstand mogelijk maken waardoor een aanvaller toegang krijgt tot een besmet apparaat of dit kan gebruiken of op een andere manier kan exploiteren.
  • Persoonsgegevens of andere gegevens van het apparaat halen zonder toereikende kennisgeving of toestemming.
  • Spam of opdrachten verspreiden vanaf het besmette apparaat naar andere apparaten of netwerken.
  • De gebruiker oplichten.

Een app, binair bestand of frameworkaanpassing kan potentieel schadelijk zijn, en dus kwaadwillend gedrag genereren, zelfs als het niet de bedoeling was om schadelijk te zijn. Dit komt omdat apps, binaire bestanden of frameworkaanpassingen verschillend kunnen functioneren, afhankelijk van allerlei variabelen. Oftewel: iets wat schadelijk is voor het ene Android-apparaat, hoeft geen risico te vormen voor een ander Android-apparaat. Een apparaat waarop bijvoorbeeld de nieuwste versie van Android wordt uitgevoerd, heeft geen last van schadelijke apps die gebruikmaken van beëindigde API's om schadelijk gedrag uit te voeren. Een apparaat waarop nog een zeer vroege versie van Android wordt uitgevoerd, kan echter risico lopen. Apps, binaire bestanden of frameworkaanpassingen worden gemarkeerd als malware of PHA als ze duidelijk een risico vormen voor sommige of alle Android-apparaten en gebruikers.

De onderstaande malwarecategorieën weerspiegelen onze fundamentele overtuiging dat gebruikers moeten begrijpen hoe hun apparaat kan worden gebruikt of misbruikt. Ze promoten ook een beveiligd ecosysteem dat robuuste innovatie en een vertrouwde gebruikerservaring mogelijk maakt.

Ga naar Google Play Protect voor meer informatie.

ALLES SAMENVOUWEN ALLES UITVOUWEN

 

Backdoors

Code waarmee ongewenste, potentieel schadelijke bewerkingen op afstand kunnen worden uitgevoerd op een apparaat.

Deze bewerkingen kunnen onder meer bestaan uit gedrag waardoor de app, het binaire bestand of de frameworkaanpassing in een van de andere malwarecategorieën kan worden geplaatst als het automatisch wordt uitgevoerd. 'Backdoor' (achterdeur) is een algemene beschrijving van de manier waarop potentieel schadelijke bewerkingen kunnen worden uitgevoerd op een apparaat. Daarom komt dit niet volledig overeen met categorieën als factureringsfraude of commerciële spyware. Als gevolg daarvan kan een subset van dergelijke backdoors onder bepaalde omstandigheden door Google Play Protect worden behandeld als een kwetsbaarheid.

 

Factureringsfraude

Code waarmee op een opzettelijk misleidende manier automatisch kosten in rekening worden gebracht aan de gebruiker.

Telecomfraude wordt opgesplitst in sms-fraude, belfraude en betaal-/abonneerfraude.

Sms-fraude
Code die kosten in rekening brengt aan gebruikers om zonder toestemming premium sms-berichten te sturen of die probeert de bijbehorende sms-activiteiten te verhullen door kennisgevingsovereenkomsten of sms-berichten van de mobiele provider te verbergen waarin de gebruiker op de hoogte wordt gesteld van kosten of waarin abonnementen worden bevestigd.

Bepaalde code (hoewel deze technisch gezien het gedrag met betrekking tot het sturen van sms-berichten bekend maakt) introduceert aanvullend gedrag dat sms-fraude mogelijk maakt. Voorbeelden omvatten het verbergen of onleesbaar maken van delen van een kennisgevingsovereenkomst voor de gebruiker of het voorwaardelijk onderdrukken van sms-berichten van de mobiele provider waarin de gebruiker op de hoogte wordt gesteld van kosten of waarin een abonnement wordt bevestigd.

Belfraude
Code waarmee kosten in rekening worden gebracht aan gebruikers door premium nummers te bellen zonder toestemming van de gebruiker.

Betaal-/abonneerfraude
Code die gebruikers misleidt zodat ze zich abonneren of content kopen via hun mobiele telefoonrekening.

Betaal-/abonneerfraude omvat elk type facturering, met uitzondering van premium sms-berichten en premium gesprekken. Voorbeelden hiervan omvatten rechtstreekse facturering via provider, draadloze toegangspunten (WAP) en overdracht van mobiele zendtijd. WAP-fraude is een van de meest voorkomende typen betaal-/abonneerfraude. WAP-fraude kan gebruikers misleiden zodat ze op een knop klikken in een transparante WebView die onzichtbaar is geladen. Als de gebruiker de actie uitvoert, wordt een abonnement gestart dat steeds wordt verlengd. De sms of e-mail ter bevestiging wordt vaak onderschept om te voorkomen dat gebruikers de financiële transactie opmerken.

 

Stalkerware

Code die persoonsgegevens of gevoelige gebruikersgegevens verzamelt van een apparaat en deze gegevens verstuurt naar een derde (bedrijf of andere persoon) om die gebruiker te volgen.

Apps moeten een voldoende prominente kennisgeving verstrekken en toestemming verkrijgen zoals vereist in het Beleid voor gebruikersgegevens.

Richtlijnen voor volg-apps

Apps die exclusief zijn ontworpen en in de handel worden gebracht om een andere persoon te volgen, bijvoorbeeld ouders die hun kinderen in de gaten willen houden of ten behoeve van ondernemingsbeheer om afzonderlijke medewerkers te volgen, zijn de enige toegestane volg-apps, mits ze volledig voldoen aan de onderstaande vereisten. Deze apps mogen niet worden gebruikt om iemand anders (bijvoorbeeld een echtgenoot/echtgenote) in de gaten te houden, zelfs niet met medeweten en toestemming van de betreffende persoon, ongeacht of er een permanente melding wordt weergegeven. Deze apps moeten de metadatamarkering IsMonitoringTool in hun manifestbestand gebruiken om zichzelf naar behoren aan te duiden als volg-app.

Volg-apps moeten voldoen aan deze vereisten:

  • Apps mogen zich niet presenteren als een spionage-oplossing of als oplossing voor geheim toezicht.
  • Apps mogen geen trackinggedrag verbergen of verhullen of gebruikers proberen te misleiden over dergelijke functies.
  • Apps moeten gebruikers een permanente melding laten zien als de app actief is, evenals een uniek icoon waarmee de app duidelijk kan worden geïdentificeerd.
  • Apps moeten de monitorings- of volgfunctie bekendmaken in de beschrijving in de Google Play Store.
  • Apps en app-vermeldingen op Google Play mogen geen middelen bieden om functies te activeren of toegankelijk te maken die deze voorwaarden schenden, zoals een link naar een ongeschikte APK die buiten Google Play wordt gehost.
  • Apps moeten voldoen aan alle toepasselijke wetgeving. U bent als enige verantwoordelijk voor het bepalen van de wettigheid van uw app in het getargete land.
Bekijk het Helpcentrum-artikel Gebruik van de markering isMonitoringTool voor meer informatie.

 

Denial of Service (DoS)

Code die, zonder medeweten van de gebruiker, een DoS-aanval (Denial of Service) uitvoert of deel uitmaakt van een gedistribueerde DoS-aanval tegen andere systemen en bronnen.

Dit kan bijvoorbeeld worden gedaan door een groot aantal HTTP-verzoeken te sturen om overmatige belasting op externe servers te produceren.

 

Schadelijke downloaders

Code die zelf niet schadelijk is, maar andere PHA's downloadt.

In de volgende gevallen kan code een schadelijke downloader zijn:

  • Er is reden om aan te nemen dat de code is gemaakt om PHA's te verspreiden en de code heeft PHA's gedownload of bevat code waarmee apps kunnen worden gedownload en geïnstalleerd, of
  • Ten minste vijf procent van de apps die door de code worden gedownload zijn PHA's met een minimum drempel van 500 waargenomen app-downloads (25 waargenomen PHA-downloads).

Grote browsers en apps voor het delen van bestanden worden niet beschouwd als schadelijke downloaders op voorwaarde dat het volgende van toepassing is:

  • Ze genereren geen downloads zonder interactie van de gebruiker, en
  • Alle PHA-downloads worden gestart door gebruikers die hiervoor toestemming hebben gegeven.

 

Niet-Android-dreiging

Code die niet-Android-dreigingen bevat.

Deze apps kunnen geen schade toebrengen aan de Android-gebruiker of het Android-apparaat, maar bevatten componenten die mogelijk schadelijk zijn voor andere platforms.

 

Phishing

Code die doet alsof deze afkomstig is van een betrouwbare bron, verzoekt om de verificatie- of factureringsgegevens van een gebruiker en deze gegevens doorstuurt naar een derde. Deze categorie is ook van toepassing op code die de overdracht van inloggegevens van gebruikers onderschept tijdens de overdracht.

Veelvoorkomende doelen van phishing zijn onder meer bankgegevens, creditcardnummers en inloggegevens van online accounts voor sociale netwerken en games.

 

Misbruik van hogere rechten

Code die de integriteit van het systeem in gevaar brengt door de sandbox van de app te doorbreken, rechten op een hoger niveau te verkrijgen of toegang tot belangrijke beveiligingsgerelateerde functies te wijzigen of uit te schakelen.

Voorbeelden hiervan zijn:

  • een app die het rechtenmodel van Android schendt of inloggegevens (zoals OAuth-tokens) steelt uit andere apps,
  • apps die functies misbruiken om te voorkomen dat ze worden verwijderd of gestopt,
  • een app die SELinux uitschakelt.

Apps die zich rechten toe-eigenen en apparaten rooten zonder toestemming van de gebruiker, worden geclassificeerd als root-apps.

 

Gijzelsoftware

Code die de gedeeltelijke of uitgebreide controle van een apparaat of gegevens op een apparaat overneemt en vereist dat de gebruiker een betaling uitvoert of een actie onderneemt om de controle te herstellen.

Sommige gijzelsoftware versleutelt gegevens op het apparaat en vraagt om een betaling om gegevens te ontsleutelen en/of gebruik te kunnen maken van de beheerdersfuncties, zodat deze niet kunnen worden verwijderd door een normale gebruiker. Voorbeelden hiervan zijn:

  • een gebruiker de toegang tot zijn of haar apparaat ontzeggen en vragen om geld om de controle van de gebruiker te herstellen,
  • gegevens op het apparaat versleutelen en vragen om een betaling, ogenschijnlijk om de gegevens te ontsleutelen,
  • gebruikmaken van de beheerdersfuncties voor het apparaatbeleid en verwijdering door de gebruiker blokkeren.

Code die wordt verstrekt bij het apparaat waarvan het primaire doel uitbesteed apparaatbeheer is, kan worden uitgesloten van de categorie 'gijzelsoftware', mits deze voldoet aan de vereisten voor beveiligde vergrendeling en beheer en beschikt over toereikende kennisgevingen en toestemmingsvereisten voor gebruikers.

 

Rooten

Code waarmee het apparaat wordt geroot.

Er is een verschil tussen niet-schadelijke en schadelijke root-code. Niet-schadelijke root-apps laten de gebruiker bijvoorbeeld van tevoren weten dat ze het apparaat gaan rooten en voeren geen andere mogelijk schadelijke acties uit die van toepassing zijn op andere PHA-categorieën.

Schadelijke root-apps laten de gebruiker niet weten dat ze het apparaat gaan rooten of stellen de gebruiker van tevoren op de hoogte van het rooten maar voeren ook andere acties uit die van toepassing zijn op andere PHA-categorieën.

 

Spam

Code die ongevraagde berichten stuurt naar de contacten van de gebruiker of het apparaat gebruikt als relayservice voor spamberichten.

 

Spyware

Spyware is een schadelijke app, code of gedrag waarmee gebruikers- of apparaatgegevens worden verzameld, onderschept of gedeeld die niet gerelateerd zijn aan functionaliteit die aan het beleid voldoet.

Schadelijke code of gedrag dat kan worden beschouwd als de gebruiker bespioneren of gegevens onderscheppen zonder voldoende kennisgeving of toestemming, wordt ook beschouwd als spyware.

Spywareschendingen omvatten, maar zijn niet beperkt tot:

  • Audio opnemen of gesprekken opnemen die op de telefoon worden gevoerd.
  • App-gegevens stelen.
  • Een app met schadelijke code van derden (bijvoorbeeld een SDK) die gegevens vanaf het apparaat verstuurt op een manier die onverwacht is voor de gebruiker en/of zonder voldoende kennisgeving aan of toestemming van de gebruiker.

Alle apps moeten ook voldoen aan het Programmabeleid voor ontwikkelaars van Google Play, waaronder beleidsregels voor gebruikers- en apparaatgegevens, zoals Ongewenste mobiele software, Gebruikersgegevens, Rechten en API's die toegang hebben tot gevoelige informatie en SDK-vereisten.

 

Trojaans paard

Code die goedaardig lijkt te zijn, zoals een game die zegt alleen een game te zijn, maar toch ongewenste acties uitvoert tegen de gebruiker.

Deze indeling wordt meestal gebruikt in combinatie met andere PHA-categorieën. Een Trojaans paard beschikt over een onschadelijke component en een verborgen schadelijke component. Een voorbeeld is een game die op de achtergrond en zonder medeweten van de gebruiker premium sms-berichten verstuurt vanaf het apparaat van de gebruiker.

 

Opmerkingen over ongebruikelijke apps

Nieuwe en zeldzame apps kunnen worden ingedeeld als 'ongebruikelijk' als Google Play Protect niet voldoende informatie heeft om ze als beveiligd in te delen. Dit houdt niet in dat de app noodzakelijkerwijs schadelijk is, maar zonder nadere beoordeling kan deze ook niet worden ingedeeld als beveiligd.

 

Opmerkingen over de categorie 'backdoor'

De malwarecategorie 'backdoor' is gebaseerd op de manier waarop de code actief is. Code wordt geclassificeerd als een backdoor als deze gedrag mogelijk maakt waardoor de code in een van de andere malwarecategorieën zou worden ingedeeld als deze automatisch wordt uitgevoerd. Als een app bijvoorbeeld toestaat dat code dynamisch wordt geladen en de dynamisch geladen code sms-berichten extraheert, wordt deze ingedeeld als backdoor-malware.

Als een app echter toestaat dat code willekeurig wordt uitgevoerd en we geen reden hebben om aan te nemen dat de uitvoering van deze code is toegevoegd om schadelijk gedrag uit te voeren, wordt de app behandeld als een app met een kwetsbaarheid en niet als backdoor-malware. De ontwikkelaar wordt dan gevraagd een patch te ontwikkelen.

 

Maskware

Een app die verschillende ontwijkingstechnieken gebruikt om de gebruiker andere, of nagemaakte, app-functionaliteit te bieden. Deze apps maskeren zichzelf als legitieme apps of games om onschadelijk te lijken voor appstores en gebruiken technieken, zoals vermomming, dynamisch laden van code of cloaking, om schadelijke content te verbergen.

Maskware is vergelijkbaar met andere PHA-categorieën, met name Trojaanse paarden, met als belangrijkste verschil de technieken die worden gebruikt om de schadelijke activiteit te vermommen.

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu