Вредоносное ПО

Код, который позволяет удаленно выполнять на устройстве нежелательные, потенциально опасные операции.

Такие операции могут включать процессы, из-за автоматического выполнения которых приложение, исполняемый файл или модификация фреймворка попадет в другие категории вредоносного ПО. В целом бэкдор – это способ, с помощью которого потенциально опасные операции могут быть выполнены на устройстве. Поэтому бэкдор сложно поставить в один ряд с такими категориями, как мошенническое списание средств или коммерческое шпионское ПО. В результате Google Play Защита при определенных обстоятельствах может посчитать набор бэкдоров уязвимостью.

 

Код, который приводит к автоматическому списанию средств пользователя обманным способом.

Существует три категории мошеннических списаний средств через операторов мобильной связи: SMS-мошенничество, мошенничество со звонками и мошенничество с оформлением подписки или оплатой контента.

SMS-мошенничество
В этом случае код приводит к отправке платных SMS без согласия пользователя или скрывает соглашения, содержащие информацию о передаче SMS, или сообщения, в которых оператор связи уведомляет о списании средств или подтверждает оформление подписки.

Бывает, что код не скрывает от пользователя отправку сообщений, но способствует SMS-мошенничеству другими путями. Примеры: сокрытие определенных разделов соглашения с информацией о передаче SMS или представление этих разделов в нечитаемом виде, блокировка сообщений, в которых оператор связи уведомляет пользователя о списании средств или подтверждает подписку.

Мошенничество со звонками
В этом случае код приводит к звонкам на платные номера без согласия пользователя.

Мошенничество с оформлением подписки или оплатой контента
В этом случае код используется для того, чтобы обманным путем заставить человека приобрести подписку или оплатить контент через оператора мобильной связи.

К этой категории относятся все списания средств, кроме тех, которые вызваны платными SMS и платными звонками. Примеры: оплата через оператора связи, использование беспроводной точки доступа (WAP) и передача минут мобильной связи. Мошенничество с WAP особенно популярно. Оно может использоваться для того, чтобы обманом заставить человека нажать кнопку в незаметно загружающемся прозрачном компоненте WebView. В результате подписка оформляется, а SMS или письмо с подтверждением транзакции перехватывается, чтобы пользователь не узнал о списании средств.

 

Код, который собирает и/или передает личные или конфиденциальные пользовательские данные с устройства без согласия или уведомления пользователя, а также не показывает уведомление, когда происходит отправка такой информации.

Приложения для преследования, которые отслеживают личные и конфиденциальные данные пользователей, передают такие данные или предоставляют третьим лицам доступ к ним.

Единственными приемлемыми приложениями для наблюдения являются приложения, предназначенные для родительского или корпоративного контроля. При этом должны полностью соблюдаться приведенные ниже требования. С помощью этих приложений запрещается следить за другими лицами (например, за супругом или супругой) даже с ведома и согласия таких лиц и при условии показа уведомления о передаче информации.

Опубликованные в Google Play приложения, не предназначенные для преследования, но отслеживающие действия пользователя на устройстве, должны соответствовать как минимум перечисленным ниже требованиям.

• В описании приложения не должно говориться, что это шпионское ПО или решение для секретной слежки.
• Приложения не должны скрывать свои функции отслеживания или вводить пользователя в заблуждение по этому поводу.
• Во время работы таких приложений должны постоянно отображаться уведомление о том, что приложение запущено, и уникальный значок, позволяющий четко идентифицировать приложение.
• В приложениях и на их страницах в Google Play не должно быть способов активировать функции, нарушающие эти правила, или получить доступ к таким функциям. Например, запрещены ссылки на не соответствующие требованиям APK-файлы, размещенные не в Google Play.
• Вы несете полную ответственность за соответствие вашего приложения законам страны, где оно будет распространяться. Приложения, нарушающие законы стран, для распространения в которых они опубликованы, подлежат удалению.

Код, который незаметно для пользователя запускает атаку типа "отказ в обслуживании" (DoS) или принимает участие в распределенной атаке такого типа, направленной на другие системы и ресурсы.

Пример: отправка большого количества HTTP-запросов для создания чрезмерной нагрузки на удаленные серверы.

Код, который сам по себе безвреден, но скачивает другие потенциально опасные приложения.

Код может быть загрузчиком вредоносного ПО, если выполняется хотя бы одно из условий:

• есть основания считать, что он создан для распространения потенциально опасных приложений, скачивает такие приложения или содержит код, который может скачивать и устанавливать приложения;
• как минимум 5 % приложений, скачанных этим кодом, являются потенциально опасными (то есть при минимальном пороге в 500 скачанных приложений должно быть обнаружено хотя бы 25 потенциально опасных).

Ведущие браузеры и приложения для обмена файлами не считаются загрузчиками вредоносного ПО, если:

• скачивание в них не запускается без участия пользователя;
• скачивание потенциально опасных приложений начинается только после того, как пользователь дает на это согласие.

Код, потенциально опасный для других платформ.

Приложения с таким кодом безопасны для устройств Android и их пользователей, но содержат компоненты, которые могут нанести вред другим платформам.

Код, полученный якобы из надежного источника, который запрашивает учетные или платежные данные пользователя, а затем передает их третьим лицам. К этой же категории относится код, который перехватывает учетные данные при их передаче.

Обычно фишингу подвергаются номера кредитных карт, а также учетные данные для аккаунтов в банковских системах, играх и социальных сетях.

Код, который нарушает целостность системы, проникая в тестовую среду, получая более высокий уровень привилегий или изменяя или отключая доступ к основным функциям, связанным с безопасностью.

Примеры:

• Приложения, которые нарушают модель разрешений Android или крадут учетные данные (такие как токены OAuth) из других приложений.
• Приложения, которые препятствуют удалению или остановке функций.
• Приложения, которые отключают модуль SELinux.

Приложения, которые без разрешения пользователя получают root-доступ через повышение привилегий, относятся к категории "Получение root-доступа".

Код, который получает полный или частичный контроль над устройством или данными на нем и требует, чтобы для восстановления доступа пользователь заплатил деньги или выполнил какое-либо действие.

Некоторые из таких программ шифруют данные на устройстве и требуют деньги за их расшифровку и/или получают полномочия администратора, что не позволяет пользователю удалить программу-вымогатель. Примеры:

• Программы, которые блокируют пользователю доступ к устройству и требуют деньги за его восстановление.
• Программы, которые шифруют данные и требуют плату якобы за их расшифровку.
• Программы, которые получают доступ к менеджеру правил устройства, из-за чего пользователь не может удалить эти программы.

Код, распространяемый вместе с устройством, предназначенный в первую очередь для привилегированного управления устройством, может быть исключен из категории программ-вымогателей, если он соответствует требованиям к безопасности блокировки и управления, а также к раскрытию информации и получению согласия пользователей.

Код, который получает root-доступ к устройству.

Такой код не всегда является вредоносным. К примеру, некоторые приложения заранее предупреждают пользователя о том, что получат root-доступ к устройству, и не выполняют других опасных действий, характерных для потенциально опасных приложений.

Вредоносные приложения не уведомляют пользователя о том, что они получат root-доступ к устройству, или уведомляют, но также выполняют другие действия, характерные для потенциально опасных приложений.

Код, который отправляет незапрашиваемые сообщения контактам пользователя или использует устройство в качестве ретранслятора писем со спамом.

Код, который передает личные данные с устройства без уведомления и согласия пользователя.

Например, признаком шпионского ПО считается передача без ведома пользователя следующей информации:

• списка контактов;
• фотографий и других файлов с SD-карты, а также файлов, которые не принадлежат приложению;
• писем пользователя;
• списка вызовов;
• списка SMS;
• истории веб-поиска или закладок в используемом по умолчанию браузере;
• информации из каталогов /data/ других приложений.

Шпионским также может считаться ПО, которое следит за пользователем, например записывает аудио и входящие звонки или крадет данные приложений.

Код, который кажется безвредным (например, обычной игрой), но выполняет нежелательные действия по отношению к пользователю.

Эта классификация обычно используется в сочетании с другими категориями потенциально опасных приложений. Троянское приложение выглядит безвредно, но содержит скрытый вредоносный компонент. Например, игра, которая в фоновом режиме отправляет платные SMS с устройства без ведома пользователя.

Google Play Защита может посчитать новые и редкие приложения необычными при отсутствии достаточного количества данных, указывающих на безопасность. Это не означает, что приложение является вредоносным. Но в число безопасных оно сможет попасть только после дополнительной проверки.

Включение кода в категорию бэкдоров зависит от того, что именно он делает. Чтобы код считался бэкдором, он должен позволять запускать процессы, из-за автоматического выполнения которых код попадет в другую категорию вредоносного ПО. Например, если в приложении разрешена динамическая загрузка кода и динамически загружаемый код извлекает SMS, такое приложение будет считаться бэкдором.

Но если в приложении разрешено выполнение произвольного кода и у нас нет оснований считать, что этот код добавлен для выполнения вредоносных процессов, такое приложение не будет отнесено к бэкдорам. Вместо этого мы отметим, что оно имеет уязвимость, и попросим разработчика устранить ее.