มัลแวร์

โค้ดที่ทำให้มีการดำเนินการไม่พึงประสงค์และอาจเป็นอันตรายที่ควบคุมจากระยะไกลได้ในอุปกรณ์

การดำเนินการเหล่านี้อาจรวมถึงพฤติกรรมที่อาจทำให้แอป ไบนารี หรือการแก้ไขเฟรมเวิร์กเข้าข่ายหมวดหมู่มัลแวร์อื่นๆ หากดำเนินการโดยอัตโนมัติ โดยทั่วไป "ประตูหลัง" เป็นคำที่ใช้อธิบายวิธีที่การดำเนินการที่อาจเป็นอันตรายอาจเกิดขึ้นในอุปกรณ์ จึงไม่สอดคล้องกับหมวดหมู่อย่างการหลอกเรียกเก็บเงินหรือสปายแวร์เชิงพาณิชย์เสียทีเดียว ด้วยเหตุนี้ ในบางสถานการณ์ Google Play Protect จึงถือว่าประตูหลังบางกรณีจัดเป็นช่องโหว่

โค้ดที่ตั้งใจหลอกเรียกเก็บเงินผู้ใช้โดยอัตโนมัติ

การฉ้อโกงด้วยการเรียกเก็บเงินผ่านเครือข่ายมือถือแบ่งเป็นการฉ้อโกงผ่าน SMS การฉ้อโกงผ่านการโทร และการฉ้อโกงผ่านค่าธรรมเนียม

การฉ้อโกงผ่าน SMS
โค้ดที่เรียกเก็บเงินจากผู้ใช้เพื่อส่ง SMS พรีเมียมโดยไม่ได้รับคำยินยอม หรือพยายามปิดบังกิจกรรม SMS ด้วยการซ่อนข้อตกลงการเปิดเผยข้อมูลหรือซ่อนข้อความ SMS จากผู้ให้บริการมือถือซึ่งแจ้งให้ผู้ใช้ทราบเรื่องการเรียกเก็บเงินหรือการยืนยันการสมัครใช้บริการ

แม้ว่าในทางเทคนิคแล้วโค้ดบางโค้ดจะเปิดเผยพฤติกรรมการส่ง SMS แต่ก็อาจทำงานในลักษณะอื่นที่เอื้อต่อการฉ้อโกงผ่าน SMS ด้วย เช่น การซ่อนข้อตกลงการเปิดเผยข้อมูลไม่ให้ผู้ใช้เห็นบางส่วน การทำให้ข้อตกลงอ่านไม่ได้ และการใช้เงื่อนไขเพื่อบล็อกข้อความ SMS จากผู้ให้บริการมือถือซึ่งแจ้งให้ผู้ใช้ทราบเรื่องการเรียกเก็บเงินหรือการยืนยันการสมัครใช้บริการ

การฉ้อโกงผ่านการโทร
โค้ดที่เรียกเก็บเงินจากผู้ใช้ด้วยการโทรหาหมายเลขพรีเมียมโดยไม่ได้รับคำยินยอม

การฉ้อโกงผ่านค่าธรรมเนียม
โค้ดที่หลอกให้ผู้ใช้สมัครใช้บริการหรือซื้อเนื้อหาผ่านใบเรียกเก็บเงินค่าโทรศัพท์มือถือ

การฉ้อโกงผ่านค่าธรรมเนียมรวมถึงการเรียกเก็บเงินทุกประเภทยกเว้น SMS พรีเมียมและการโทรหาหมายเลขพรีเมียม เช่น การเรียกเก็บเงินผ่านผู้ให้บริการโดยตรง จุดเข้าใช้งานเครือข่ายไร้สาย (WAP) และการโอนสายในเครือข่ายมือถือ การฉ้อโกงผ่าน WAP เป็นการฉ้อโกงผ่านค่าธรรมเนียมที่แพร่หลายที่สุดประเภทหนึ่ง การฉ้อโกงประเภทนี้อาจเป็นการหลอกให้ผู้ใช้คลิกปุ่มบน WebView ที่โหลดแบบเงียบและมีลักษณะโปร่งใส เมื่อผู้ใช้คลิกปุ่ม ระบบจะเริ่มการสมัครใช้บริการแบบเกิดซ้ำ และ SMS หรืออีเมลยืนยันมักจะถูกลักลอบนำออกเพื่อไม่ให้ผู้ใช้สังเกตเห็นธุรกรรมทางการเงิน

โค้ดที่รวบรวมข้อมูลส่วนตัวหรือข้อมูลที่ละเอียดอ่อนของผู้ใช้จากอุปกรณ์และส่งข้อมูลดังกล่าวไปให้บุคคลที่สาม (องค์กรหรือบุคคลธรรมดาคนอื่น) เพื่อวัตถุประสงค์ในการเฝ้าติดตาม

แอปต้องให้การเปิดเผยข้อมูลอย่างชัดเจนเพียงพอและขอความยินยอมข้อกำหนดของนโยบายข้อมูลผู้ใช้

หลักเกณฑ์สำหรับแอปพลิเคชันเฝ้าติดตาม

แอปเฝ้าติดตามที่เรายอมรับมีเพียงแอปที่ออกแบบและทำการตลาดการเฝ้าติดตามบุคคลอื่นโดยเฉพาะเท่านั้น เช่น สำหรับผู้ปกครองเพื่อใช้ติดตามบุตรหลานหรือสำหรับฝ่ายบริหารขององค์กรเพื่อใช้ติดตามพนักงานแต่ละคน โดยแอปดังกล่าวจะต้องเป็นไปตามข้อกำหนดทั้งหมดที่อธิบายไว้ด้านล่าง คุณต้องไม่ใช้แอปเหล่านี้ในการติดตามบุคคลอื่น (เช่น คู่สมรส) แม้ว่าบุคคลดังกล่าวจะรับทราบและอนุญาต ไม่ว่าจะมีการแสดงการแจ้งเตือนอยู่เรื่อยๆ หรือไม่ก็ตาม แอปเหล่านี้ต้องใช้แฟล็กข้อมูลเมตา IsMonitoringTool ในไฟล์ Manifest เพื่อระบุว่าเป็นแอปเฝ้าติดตาม

แอปเฝ้าติดตามต้องเป็นไปตามข้อกำหนดเหล่านี้

• แอปต้องไม่แสดงตัวว่าเป็นโซลูชันการสอดแนมหรือการเฝ้าระวัง
• แอปต้องไม่ซ่อนหรือปิดบังพฤติกรรมการติดตาม หรือพยายามทำให้ผู้ใช้เข้าใจฟังก์ชันการทำงานดังกล่าวผิดไป
• แอปต้องแสดงให้ผู้ใช้เห็นการแจ้งเตือนตลอดเวลาที่แอปทำงาน และแสดงให้เห็นไอคอนที่บ่งบอกแอปนั้นอย่างชัดเจน
• แอปต้องเปิดเผยฟังก์ชันการเฝ้าติดตามในคำอธิบายของ Google Play Store
• แอปและข้อมูลแอปใน Google Play ต้องไม่ให้วิธีการเปิดใช้งานหรือวิธีการเข้าถึงฟังก์ชันการทำงานที่ละเมิดข้อกำหนดเหล่านี้ เช่น การลิงก์ไปยัง APK ที่ไม่เป็นไปตามข้อกำหนดที่โฮสต์ไว้นอก Google Play
• แอปต้องเป็นไปตามกฎหมายทั้งหมดที่เกี่ยวข้อง คุณต้องรับผิดชอบการพิจารณาความถูกต้องตามกฎหมายของแอปของคุณในประเทศเป้าหมายแต่เพียงผู้เดียว

โค้ดที่ทำการโจมตีโดยสร้างภาวะปฏิเสธการให้บริการ (DoS) โดยที่ผู้ใช้ไม่ทราบ หรือเป็นส่วนหนึ่งของการโจมตีแบบ DoS ที่มุ่งเป้าไปยังระบบหรือทรัพยากรอื่นๆ

เช่น กรณีนี้อาจเกิดขึ้นโดยการส่งคำขอ HTTP จำนวนมากเพื่อสร้างภาระงานที่สูงเกินขีดความสามารถของเซิร์ฟเวอร์ระยะไกล

โค้ดที่อาจไม่ได้เป็นอันตรายเองแต่ดาวน์โหลดแอปที่อาจเป็นอันตรายอื่นๆ

วิธีสังเกตว่าโค้ดเป็นเครื่องมือดาวน์โหลดที่เป็นอันตราย มีดังนี้

• มีเหตุผลที่ทำให้เชื่อว่าโค้ดดังกล่าวสร้างขึ้นมาเพื่อเผยแพร่แอปที่อาจเป็นอันตราย และเคยดาวน์โหลดแอปที่อาจเป็นอันตรายหรือมีโค้ดที่ดาวน์โหลดและติดตั้งแอปได้ หรือ
• แอปอย่างน้อย 5% ที่โค้ดดาวน์โหลดมานั้นเป็นแอปที่อาจเป็นอันตราย โดยมีเกณฑ์ขั้นต่ำอยู่ที่การดาวน์โหลดแอปที่สังเกตการณ์ 500 ครั้ง (การดาวน์โหลดแอปที่อาจเป็นอันตรายที่สังเกตการณ์ 25 ครั้ง)

เบราว์เซอร์หลักๆ และแอปแชร์ไฟล์จะไม่ถือเป็นเครื่องมือดาวน์โหลดที่เป็นอันตรายในกรณีต่อไปนี้

• เบราว์เซอร์หรือแอปจะดาวน์โหลดต่อเมื่อมีการโต้ตอบกับผู้ใช้
• ผู้ใช้เริ่มการดาวน์โหลดแอปที่อาจเป็นอันตรายทั้งหมดโดยการให้คำยินยอม

โค้ดที่มีภัยคุกคามซึ่งไม่ส่งผลต่อ Android

แอปเหล่านี้ไม่ทำให้เกิดอันตรายต่อผู้ใช้หรืออุปกรณ์ Android แต่มีคอมโพเนนต์ที่อาจเป็นอันตรายต่อแพลตฟอร์มอื่น

โค้ดที่แสร้งว่ามาจากแหล่งที่มาที่เชื่อถือได้ ซึ่งขอข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์หรือข้อมูลสำหรับการเรียกเก็บเงินของผู้ใช้และส่งข้อมูลดังกล่าวไปให้บุคคลที่สาม หมวดหมู่นี้รวมถึงโค้ดที่ดักฟังการส่งข้อมูลเข้าสู่ระบบของผู้ใช้ระหว่างการส่ง

เป้าหมายทั่วไปของฟิชชิง ได้แก่ ข้อมูลเข้าสู่ระบบธนาคาร หมายเลขบัตรเครดิต และข้อมูลเข้าสู่ระบบบัญชีออนไลน์สำหรับโซเชียลเน็ตเวิร์กและเกม

โค้ดที่ทำให้เกิดความเสี่ยงต่อความสมบูรณ์ของระบบด้วยการทำให้แซนด์บ็อกซ์ของแอปทำงานไม่ได้ การเพิ่มสิทธิ์ในระดับสูงขึ้น ตลอดจนการเปลี่ยนหรือปิดการเข้าถึงฟังก์ชันหลักที่เกี่ยวข้องกับความปลอดภัย

ตัวอย่าง

• แอปที่ละเมิดโมเดลสิทธิ์ของ Android หรือขโมยข้อมูลเข้าสู่ระบบ (เช่น โทเค็น OAuth) จากแอปอื่นๆ
• แอปที่ละเมิดการใช้ฟีเจอร์เพื่อป้องกันไม่ให้มีการถอนการติดตั้งหรือหยุดการทำงานของแอป
• แอปที่ปิดใช้ SELinux

แอปโจมตีเพื่อยกระดับสิทธิ์ที่รูทอุปกรณ์โดยไม่มีการให้สิทธิ์จากผู้ใช้จัดว่าเป็นแอปการรูท

โค้ดที่เข้าควบคุมอุปกรณ์หรือข้อมูลในอุปกรณ์บางส่วนหรือในวงกว้างและสั่งให้ผู้ใช้ชำระเงินหรือดำเนินการที่ทำให้สูญเสียการควบคุม

แรนซัมแวร์บางรายการจะเข้ารหัสข้อมูลในอุปกรณ์และเรียกร้องให้ชำระเงินเพื่อถอดรหัสข้อมูล และ/หรือใช้ประโยชน์จากฟีเจอร์ผู้ดูแลระบบของอุปกรณ์เพื่อทำให้ผู้ใช้นำแรมซัมแวร์ดังกล่าวออกไม่ได้ ตัวอย่าง

• การล็อกไม่ให้ผู้ใช้เข้าถึงอุปกรณ์ของตัวเองและเรียกร้องให้จ่ายเงินเพื่อคืนค่าการควบคุมของผู้ใช้
• การเข้ารหัสข้อมูลในอุปกรณ์และเรียกร้องให้ชำระเงินเป็นค่าถอดรหัส
• การใช้ประโยชน์จากฟีเจอร์ของตัวจัดการนโยบายด้านอุปกรณ์และการบล็อกไม่ให้ผู้ใช้นำแรนซัมแวร์ออก

โค้ดที่มาพร้อมกับอุปกรณ์โดยมีวัตถุประสงค์หลักเพื่อจัดการอุปกรณ์ที่ได้รับงบอุดหนุนอาจไม่รวมอยู่ในหมวดหมู่แรนซัมแวร์หากมีคุณสมบัติตรงตามข้อกำหนดสำหรับการล็อกและการจัดการที่ปลอดภัย ตลอดจนข้อกำหนดด้านการเปิดเผยข้อมูลต่อผู้ใช้และการขอคำยินยอมที่เพียงพอ

โค้ดที่รูทอุปกรณ์

โค้ดการรูทที่ไม่เป็นอันตรายและเป็นอันตรายนั้นแตกต่างกัน เช่น แอปการรูทที่ไม่เป็นอันตรายจะแจ้งให้ผู้ใช้ทราบล่วงหน้าว่าจะรูทอุปกรณ์ และจะไม่ดำเนินการอื่นใดที่อาจเป็นอันตรายตามหมวดหมู่แอปที่อาจเป็นอันตราย

แอปการรูทที่เป็นอันตรายจะไม่แจ้งผู้ใช้ว่าจะรูทอุปกรณ์ หรือแจ้งผู้ใช้เกี่ยวกับการรูทล่วงหน้าแต่ก็ดำเนินการอื่นๆ ตามหมวดหมู่แอปที่อาจเป็นอันตรายด้วย

โค้ดที่ส่งข้อความขยะถึงรายชื่อติดต่อของผู้ใช้หรือใช้อุปกรณ์เป็นการส่งต่ออีเมลสแปม

สปายแวร์คือแอปพลิเคชัน โค้ด หรือลักษณะการทำงานที่เป็นอันตราย ซึ่งเก็บรวบรวม ขโมย หรือแชร์ข้อมูลผู้ใช้หรือข้อมูลอุปกรณ์ที่ไม่เกี่ยวข้องกับฟังก์ชันการทำงานที่เป็นไปตามนโยบาย

โค้ดหรือลักษณะการทำงานที่เป็นอันตรายซึ่งอาจจัดว่าเป็นการสอดแนมผู้ใช้หรือขโมยข้อมูลโดยไม่มีการประกาศแจ้งหรือการขอความยินยอมที่เพียงพอยังถือว่าเป็นสปายแวร์ด้วย

ตัวอย่างเช่น การละเมิดด้วยสปายแวร์รวมถึงแต่ไม่จำกัดเพียงการดำเนินการต่อไปนี้

• การบันทึกเสียงหรือการบันทึกการโทรของโทรศัพท์
• การขโมยข้อมูลแอป
• แอปที่มีโค้ดที่เป็นอันตรายของบุคคลที่สาม (ตัวอย่างเช่น SDK) ซึ่งส่งผ่านข้อมูลจากอุปกรณ์ในลักษณะที่ผู้ใช้ไม่คาดคิดและ/หรือไม่มีการประกาศแจ้งหรือการขอความยินยอมจากผู้ใช้ที่เพียงพอ

แอปทั้งหมดต้องเป็นไปตามนโยบายโปรแกรมสำหรับนักพัฒนาแอป Google Play ทั้งหมด ซึ่งรวมถึงนโยบายด้านข้อมูลผู้ใช้และข้อมูลอุปกรณ์ เช่น ซอฟต์แวร์ไม่พึงประสงค์บนอุปกรณ์เคลื่อนที่, ข้อมูลผู้ใช้, สิทธิ์และ API ที่เข้าถึงข้อมูลที่ละเอียดอ่อน และข้อกำหนดของ SDK

โค้ดที่ดูเหมือนว่าจะไม่เป็นอันตราย เช่น เกมที่อ้างว่าเป็นเกมเฉยๆ แต่ดำเนินการในสิ่งที่ไม่พึงประสงค์กับผู้ใช้

การจำแนกประเภทโค้ดในกลุ่มนี้มักกระทำควบคู่ไปกับหมวดหมู่แอปที่อาจเป็นอันตรายอื่นๆ โทรจันมีคอมโพเนนต์ที่ไม่เป็นอันตรายและคอมโพเนนต์ที่เป็นอันตรายซ่อนอยู่ ตัวอย่างเช่น เกมที่ส่งข้อความ SMS แบบพรีเมียมจากอุปกรณ์ของผู้ใช้ในเบื้องหลังโดยที่ผู้ใช้ไม่ทราบ

แอปใหม่และแอปที่พบไม่บ่อยอาจแยกประเภทเป็นแอปพิเศษได้หาก Google Play Protect มีข้อมูลไม่เพียงพอที่จะยืนยันว่าแอปปลอดภัย ซึ่งการแยกประเภทเช่นนี้ไม่ได้หมายความว่าแอปเป็นอันตราย แต่ก็ยืนยันไม่ได้เช่นกันว่าแอปนั้นปลอดภัยหากไม่มีการตรวจสอบเพิ่มเติม

การแยกประเภทหมวดหมู่มัลแวร์ประตูหลังจะอาศัยวิธีการดำเนินการของโค้ด เงื่อนไขที่จำเป็นสำหรับการแยกประเภทโค้ดว่าเป็นประตูหลังคือการที่โค้ดทำให้เกิดพฤติกรรมที่จะทำให้โค้ดดังกล่าวเข้าข่ายหมวดหมู่มัลแวร์อื่นๆ หากดำเนินการโดยอัตโนมัติ ตัวอย่างเช่น หากแอปอนุญาตการโหลดโค้ดแบบไดนามิกและโค้ดที่โหลดแบบไดนามิกทำการดึงข้อมูล SMS จะถือว่าโค้ดดังกล่าวเป็นมัลแวร์ประตูหลัง

อย่างไรก็ตาม หากแอปอนุญาตการดำเนินการโค้ดโดยไม่มีกฎเกณฑ์ และเราไม่มีเหตุผลที่ทำให้เชื่อว่าโค้ดนี้เพิ่มเข้ามาเพื่อดำเนินการพฤติกรรมที่เป็นอันตราย เราจะถือว่าแอปนี้มีช่องโหว่แทนที่จะเป็นมัลแวร์ประตูหลัง และจะขอให้นักพัฒนาซอฟต์แวร์แพตช์แอป

แอปพลิเคชันที่ใช้เทคนิคการหลีกเลี่ยงที่หลากหลายเพื่อให้บริการฟังก์ชันการทำงานปลอมหรือที่แตกต่างออกไปของแอปพลิเคชันให้แก่ผู้ใช้ แอปเหล่านี้มาสก์ตนเองเป็นแอปพลิเคชันหรือเกมที่ถูกต้องตามกฎหมายเพื่อให้ดูไร้พิษภัยในสายตาของ App Store และใช้เทคนิคอย่างเช่นการปรับให้ยากต่อการอ่าน (Obfuscation), การโหลดโค้ดแบบไดนามิก หรือการปิดบังหน้าเว็บจริงเพื่อเปิดเผยเนื้อหาที่เป็นอันตราย

มาสก์แวร์คล้ายคลึงกันกับแอปที่อาจเป็นอันตรายหมวดหมู่อื่นๆ โดยเฉพาะอย่างยิ่งโทรจัน โดยมีความแตกต่างหลักอยู่ในเทคนิคที่ใช้ปรับกิจกรรมที่เป็นอันตรายให้ยากต่อการอ่าน (Obfuscate)