Вредоносное ПО

Правило простое: экосистема Android, включающая Google Play и устройства пользователей, не должна подвергаться воздействию вредоносного ПО. Руководствуясь этим принципом, мы стараемся делать экосистему Android безопасной для пользователей и их устройств на базе Android.

Вредоносным ПО считается любой код, который может представлять угрозу для пользователя, а также его данных или устройств. Например, к вредоносному ПО относятся потенциально опасные приложения (ПОП), а также исполняемые файлы и модификации фреймворков, относящиеся к таким категориям, как троянские программы, фишинг и шпионское ПО. Мы постоянно обновляем этот список и добавляем новые категории.

Вредоносные программы могут различаться по типу и принципу действия, но, как правило, преследуют какие-либо из следующих целей:

  • вмешательство в работу устройства пользователя;
  • получение контроля над устройством пользователя;
  • выполнение удаленных операций, позволяющих получать доступ к зараженному устройству или каким-либо образом использовать его;
  • передача персональных или учетных данных с устройства без ведома и согласия пользователя;
  • рассылка с зараженного устройства спама или команд, которые затрагивают другие устройства или сети;
  • мошеннические действия по отношению к пользователю.

Приложения, исполняемые файлы и модификации фреймворков, даже если они изначально не были созданы с вредоносными целями, могут считаться потенциально опасными и представлять угрозу для пользователя. Дело в том, что они могут действовать по-разному в зависимости от целого ряда факторов. Компоненты, которые могут представлять риск для одних устройств Android, совершенно безвредны для других. Например, вредоносные программы, использующие устаревшие API, не станут угрозой для устройств, на которых установлена последняя версия ОС Android, в отличие от устройств с более ранними версиями. Приложения, исполняемые файлы и модификации фреймворков помечаются как вредоносные или потенциально опасные, если они представляют явную угрозу для некоторых или всех пользователей и устройств Android.

Мы хотим, чтобы наша экосистема была безопасной, построенной на инновациях и доверии, а также чтобы пользователи понимали, как именно злоумышленники могут эксплуатировать их устройства. Именно поэтому мы подготовили описание категорий вредоносного ПО.

Подробную информацию можно найти на сайте Google Play Защиты.

СВЕРНУТЬ ВСЕ РАЗВЕРНУТЬ ВСЕ

 

Бэкдоры

Код, который позволяет удаленно выполнять на устройстве нежелательные, потенциально опасные операции.

Такие операции могут включать процессы, из-за автоматического выполнения которых приложение, исполняемый файл или модификация фреймворка попадет в другие категории вредоносного ПО. В целом бэкдор – это способ, с помощью которого потенциально опасные операции могут быть выполнены на устройстве. Поэтому бэкдор сложно поставить в один ряд с такими категориями, как мошенническое списание средств или коммерческое шпионское ПО. В результате Google Play Защита при определенных обстоятельствах может посчитать набор бэкдоров уязвимостью.

 
 

 

Мошенническое списание средств

Код, который приводит к автоматическому списанию средств пользователя обманным способом.

Существует три категории мошеннических списаний средств через операторов мобильной связи: SMS-мошенничество, мошенничество со звонками и мошенничество с оформлением подписки или оплатой контента.

SMS-мошенничество
В этом случае код приводит к отправке платных SMS без согласия пользователя или скрывает соглашения, содержащие информацию о передаче SMS, или сообщения, в которых оператор связи уведомляет о списании средств или подтверждает оформление подписки.

Бывает, что код не скрывает от пользователя отправку сообщений, но способствует SMS-мошенничеству другими путями. Примеры: сокрытие определенных разделов соглашения с информацией о передаче SMS или представление этих разделов в нечитаемом виде, блокировка сообщений, в которых оператор связи уведомляет пользователя о списании средств или подтверждает подписку.

Мошенничество со звонками
В этом случае код приводит к звонкам на платные номера без согласия пользователя.

Мошенничество с оформлением подписки или оплатой контента
В этом случае код используется для того, чтобы обманным путем заставить человека приобрести подписку или оплатить контент через оператора мобильной связи.

К этой категории относятся все списания средств, кроме тех, которые вызваны платными SMS и платными звонками. Примеры: оплата через оператора связи, использование беспроводной точки доступа (WAP) и передача минут мобильной связи. Мошенничество с WAP особенно популярно. Оно может использоваться для того, чтобы обманом заставить человека нажать кнопку в незаметно загружающемся прозрачном компоненте WebView. В результате подписка оформляется, а SMS или письмо с подтверждением транзакции перехватывается, чтобы пользователь не узнал о списании средств.

 

 

ПО для преследования

Код, который собирает и/или передает личные или конфиденциальные пользовательские данные с устройства без согласия или уведомления пользователя, а также не показывает уведомление, когда происходит отправка такой информации.

Приложения для преследования, которые отслеживают личные и конфиденциальные данные пользователей, передают такие данные или предоставляют третьим лицам доступ к ним.

Единственными приемлемыми приложениями для наблюдения являются приложения, предназначенные для родительского или корпоративного контроля. При этом должны полностью соблюдаться приведенные ниже требования. С помощью этих приложений запрещается следить за другими лицами (например, за супругом или супругой) даже с ведома и согласия таких лиц и при условии показа уведомления о передаче информации.

Опубликованные в Google Play приложения, не предназначенные для преследования, но отслеживающие действия пользователя на устройстве, должны соответствовать как минимум перечисленным ниже требованиям.

  • В описании приложения не должно говориться, что это шпионское ПО или решение для секретной слежки.
  • Приложения не должны скрывать свои функции отслеживания или вводить пользователя в заблуждение по этому поводу.
  • Во время работы таких приложений должны постоянно отображаться уведомление о том, что приложение запущено, и уникальный значок, позволяющий четко идентифицировать приложение.
  • В приложениях и на их страницах в Google Play не должно быть способов активировать функции, нарушающие эти правила, или получить доступ к таким функциям. Например, запрещены ссылки на не соответствующие требованиям APK-файлы, размещенные не в Google Play.
  • Вы несете полную ответственность за соответствие вашего приложения законам страны, где оно будет распространяться. Приложения, нарушающие законы стран, для распространения в которых они опубликованы, подлежат удалению.

 

Атака типа "отказ в обслуживании" (DoS)

Код, который незаметно для пользователя запускает атаку типа "отказ в обслуживании" (DoS) или принимает участие в распределенной атаке такого типа, направленной на другие системы и ресурсы.

Пример: отправка большого количества HTTP-запросов для создания чрезмерной нагрузки на удаленные серверы.

 

Загрузчики вредоносного ПО

Код, который сам по себе безвреден, но скачивает другие потенциально опасные приложения.

Код может быть загрузчиком вредоносного ПО, если выполняется хотя бы одно из условий:

  • есть основания считать, что он создан для распространения потенциально опасных приложений, скачивает такие приложения или содержит код, который может скачивать и устанавливать приложения;
  • как минимум 5 % приложений, скачанных этим кодом, являются потенциально опасными (то есть при минимальном пороге в 500 скачанных приложений должно быть обнаружено хотя бы 25 потенциально опасных).

Ведущие браузеры и приложения для обмена файлами не считаются загрузчиками вредоносного ПО, если:

  • скачивание в них не запускается без участия пользователя;
  • скачивание потенциально опасных приложений начинается только после того, как пользователь дает на это согласие.

 

Угроза для устройств не на базе Android

Код, потенциально опасный для других платформ.

Приложения с таким кодом безопасны для устройств Android и их пользователей, но содержат компоненты, которые могут нанести вред другим платформам.

 

Фишинг

Код, полученный якобы из надежного источника, который запрашивает учетные или платежные данные пользователя, а затем передает их третьим лицам. К этой же категории относится код, который перехватывает учетные данные при их передаче.

Обычно фишингу подвергаются номера кредитных карт, а также учетные данные для аккаунтов в банковских системах, играх и социальных сетях.

 

Повышение привилегий

Код, который нарушает целостность системы, проникая в тестовую среду, получая более высокий уровень привилегий или изменяя или отключая доступ к основным функциям, связанным с безопасностью.

Примеры:

  • Приложения, которые нарушают модель разрешений Android или крадут учетные данные (такие как токены OAuth) из других приложений.
  • Приложения, которые препятствуют удалению или остановке функций.
  • Приложения, которые отключают модуль SELinux.

Приложения, которые без разрешения пользователя получают root-доступ через повышение привилегий, относятся к категории "Получение root-доступа".

 

Программы-вымогатели

Код, который получает полный или частичный контроль над устройством или данными на нем и требует, чтобы для восстановления доступа пользователь заплатил деньги или выполнил какое-либо действие.

Некоторые из таких программ шифруют данные на устройстве и требуют деньги за их расшифровку и/или получают полномочия администратора, что не позволяет пользователю удалить программу-вымогатель. Примеры:

  • Программы, которые блокируют пользователю доступ к устройству и требуют деньги за его восстановление.
  • Программы, которые шифруют данные и требуют плату якобы за их расшифровку.
  • Программы, которые получают доступ к менеджеру правил устройства, из-за чего пользователь не может удалить эти программы.

Код, распространяемый вместе с устройством, предназначенный в первую очередь для привилегированного управления устройством, может быть исключен из категории программ-вымогателей, если он соответствует требованиям к безопасности блокировки и управления, а также к раскрытию информации и получению согласия пользователей.

 

Получение root-доступа

Код, который получает root-доступ к устройству.

Такой код не всегда является вредоносным. К примеру, некоторые приложения заранее предупреждают пользователя о том, что получат root-доступ к устройству, и не выполняют других опасных действий, характерных для потенциально опасных приложений.

Вредоносные приложения не уведомляют пользователя о том, что они получат root-доступ к устройству, или уведомляют, но также выполняют другие действия, характерные для потенциально опасных приложений.

 

Спам

Код, который отправляет незапрашиваемые сообщения контактам пользователя или использует устройство в качестве ретранслятора писем со спамом.

 

Шпионское ПО

Код, который передает личные данные с устройства без уведомления и согласия пользователя.

Например, признаком шпионского ПО считается передача без ведома пользователя следующей информации:

  • списка контактов;
  • фотографий и других файлов с SD-карты, а также файлов, которые не принадлежат приложению;
  • писем пользователя;
  • списка вызовов;
  • списка SMS;
  • истории веб-поиска или закладок в используемом по умолчанию браузере;
  • информации из каталогов /data/ других приложений.

Шпионским также может считаться ПО, которое следит за пользователем, например записывает аудио и входящие звонки или крадет данные приложений.

 

Троянские приложения

Код, который кажется безвредным (например, обычной игрой), но выполняет нежелательные действия по отношению к пользователю.

Эта классификация обычно используется в сочетании с другими категориями потенциально опасных приложений. Троянское приложение выглядит безвредно, но содержит скрытый вредоносный компонент. Например, игра, которая в фоновом режиме отправляет платные SMS с устройства без ведома пользователя.

 

Примечание о необычных приложениях

Google Play Защита может посчитать новые и редкие приложения необычными при отсутствии достаточного количества данных, указывающих на безопасность. Это не означает, что приложение является вредоносным. Но в число безопасных оно сможет попасть только после дополнительной проверки.

 

Примечание к категории "Бэкдоры"

Включение кода в категорию бэкдоров зависит от того, что именно он делает. Чтобы код считался бэкдором, он должен позволять запускать процессы, из-за автоматического выполнения которых код попадет в другую категорию вредоносного ПО. Например, если в приложении разрешена динамическая загрузка кода и динамически загружаемый код извлекает SMS, такое приложение будет считаться бэкдором.

Но если в приложении разрешено выполнение произвольного кода и у нас нет оснований считать, что этот код добавлен для выполнения вредоносных процессов, такое приложение не будет отнесено к бэкдорам. Вместо этого мы отметим, что оно имеет уязвимость, и попросим разработчика устранить ее.

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
92637
false