Зловмисне програмне забезпечення

Наші правила щодо зловмисного програмного забезпечення прості: в екосистемі Android, зокрема в Play Маркеті, і на пристроях користувачів не місце зловмисній поведінці. Згідно з цим фундаментальним принципом ми докладаємо всіх зусиль, щоб робити екосистему Android безпечною для користувачів і їхніх пристроїв.

Зловмисне програмне забезпечення – це будь-який код, що може поставити під загрозу користувача, його дані чи пристрій. До зловмисного програмного забезпечення належать, зокрема, потенційно шкідливі додатки, двійкові коди та модифікації фреймворків, серед яких можна виділити категорії троянських програм, фішингових і шпигунських додатків. Ми постійно оновлюємо категорії та додаємо нові.

Хоча типи й функції зловмисних програм значно відрізняються, усі вони мають на меті щось із переліченого нижче.

  • Порушити захист пристрою користувача.
  • Отримати контроль над пристроєм користувача.
  • Допомогти зловмисникам віддалено отримати доступ до інфікованого пристрою, користуватися ним чи застосовувати з іншою метою.
  • Передавати персональні чи облікові дані з пристрою, не повідомивши про це користувача й не отримавши його згоди.
  • Надсилати з інфікованого пристрою спам або певні команди, щоб учиняти шкідливий вплив на інші пристрої та мережі.
  • Заволодіти коштами користувача.

Додаток, двійковий код чи модифікація фреймворку можуть бути потенційно шкідливі, навіть якщо їх не розроблено як зловмисні програми. Причина полягає в тому, що функції додатків, двійкових кодів і модифікацій фреймворків відрізняються залежно від багатьох змінних параметрів. Тому поведінка, шкідлива для одного пристрою Android, може не становити загрози для іншого. Наприклад, пристрої з останньою версією Android не зазнають впливу шкідливих програм, у яких зловмисну поведінку реалізовано через непідтримувані API, однак пристрої з ранішою версією Android перебувають під загрозою. Додатки, двійкові коди та модифікації фреймворків позначаються як зловмисне програмне забезпечення чи потенційно шкідливі додатки, якщо очевидно, що вони становлять загрозу для всіх чи деяких пристроїв Android і їх користувачів.

Ми переконані, що користувачі мають розуміти, як здійснюється керування пристроєм, і докладаємо всіх зусиль, щоб підтримувати безпечну інноваційну екосистему, якій користувачі можуть довіряти. Ґрунтуючись на цих фундаментальних принципах, ми розробили класифікацію зловмисного програмного забезпечення за наведеними нижче категоріями.

Щоб дізнатися більше, відвідайте веб-сайт Google Play Захисту.

ЗГОРНУТИ ВСЕ РОЗГОРНУТИ ВСЕ

 

Бекдори

Код, що дозволяє виконувати на пристрої небажані, потенційно шкідливі та дистанційно керовані операції.

Під час цих операцій можуть автоматично виконуватися дії, що дозволять віднести додаток, двійковий код чи модифікацію фреймворку до однієї з інших категорій зловмисного програмного забезпечення. Загалом поняття "бекдор" визначає спосіб виконання на пристрої потенційно шкідливої операції, а тому його важко віднести до таких категорій, як "Шахрайство з платежами" чи "Комерційні шпигунські програми". Як наслідок, за певних умов Google Play Захист може розпізнавати деякий набір бекдорів як загрозу безпеці.

 
 

 

Шахрайство з платежами

Код, що автоматично стягує з користувача плату в завідомо оманливий спосіб.

Існує три види шахрайства з мобільними платежами: SMS-шахрайство, шахрайство з дзвінками та шахрайство з рахунками на оплату.

SMS-шахрайство
Код, що спричиняє стягування з користувача плати за надсилання без його згоди SMS-повідомлень завищеної вартості або намагається уникнути розкриття своїх дій, приховуючи від користувача угоди про розголошення та SMS-повідомлення від мобільного оператора щодо оплати чи підтвердження підписок.

Деякі коди, хоча технічно й повідомляють про свої дії з SMS-повідомленнями, але здійснюють інші операції, що містять ознаки SMS-шахрайства. Це може бути приховування від користувача частин угоди про розголошення, відображення їх у нечитабельній формі та відхилення SMS-повідомлень від мобільного оператора щодо оплати чи підтвердження підписок.

Телефонне шахрайство
Код, що спричиняє стягування з користувача плати за здійснення без його згоди дзвінків на платні телефонні номери.

Шахрайство з рахунками на оплату
Код, що оманливим чином спонукає користувача придбати підписку чи контент через рахунок на оплату послуг мобільного зв'язку.

Шахрайство з рахунками на оплату стосується стягнення будь-якої плати, окрім SMS-повідомлень підвищеної вартості та дзвінків на платні номери. Серед прикладів такого шахрайства: оплата через оператора, оплата за використання бездротової точки доступу (WAP) та передавання пакетних хвилин. Найпоширенішим типом є шахрайство з оплатою за використання бездротової точки доступу. До нього може належати спонукання користувача оманливим способом натиснути кнопку на непомітно завантаженому прозорому компоненті WebView. Після виконання потрібної дії оформлюється поновлювана підписка, а електронний лист чи SMS-повідомлення з підтвердженням часто зламується, щоб користувач не помітив фінансову трансакцію.

 

 

Програмне забезпечення для стеження

Код, що збирає та/або передає особисті чи конфіденційні дані користувача з пристрою непомітно для нього й без отримання від нього належної згоди та не повідомляє явно про такі свої дії.

Програмне забезпечення для стеження перехоплює особисті чи конфіденційні дані користувачів і передає їх чи відкриває доступ до них третім особам.

Функції спостереження можуть мати лише додатки, розроблені спеціально для батьківського контролю або корпоративного керування (і належно позначені). Для цього вони повинні повністю відповідати наведеним нижче вимогам. За допомогою таких додатків не можна стежити за певною особою (наприклад, чоловіком або дружиною) без її відома чи дозволу, навіть якщо при цьому відображається належне сповіщення.

Додатки в Google Play, що не слугують для стеження й можуть відслідковувати поведінку користувача на пристрої, мають відповідати принаймні переліченим нижче вимогам.

  • Додатки не можуть позиціонуватися як рішення для шпигунства чи таємного стеження.
  • Додатки не можуть приховувати чи маскувати дії з відстеження або вводити в оману користувачів.
  • Під час роботи додатків на екрані завжди має відображатися належне сповіщення, а також унікальний значок, за яким їх можна ідентифікувати.
  • У додатках і на їх сторінках у Google Play заборонено пропонувати способи активації або доступу до функцій, які порушують ці умови (як-от зв'язування з невідповідним файлом APK, розміщеним не в Google Play).
  • Ви несете повну відповідальність за визнання законності свого додатка в цільовому регіоні. Додатки, визнані незаконними в країнах, де вони публікуються, буде видалено.

 

Відмова в обслуговуванні (DoS)

Код, який таємно від користувача здійснює атаку типу "відмова в обслуговуванні" (DoS) або є частиною розподіленої DoS-атаки на інші системи та пристрої.

Наприклад, для цього може надсилатися велика кількість запитів HTTP, що створюють надмірне навантаження на віддалені сервери.

 

Зловмисні завантажувачі

Код, що завантажує потенційно шкідливі додатки, хоча сам таким не є.

Код може бути зловмисним завантажувачем, якщо:

  • існує причина вважати, що його створено з метою розповсюдження потенційно шкідливих додатків і він їх завантажив або містить частини, які можуть завантажувати та встановлювати додатки;
  • він завантажив щонайменше 500 додатків, принаймні 5% із яких є потенційно шкідливими (завантажено 25 потенційно шкідливих додатків).

Найпоширеніші веб-переглядачі та додатки для обміну файлами не вважаються зловмисними завантажувачами, якщо:

  • вони не ініціюють завантаження без участі користувача;
  • усі завантаження потенційно шкідливих додатків ініціюються за згоди користувача.

 

Загрози, спрямовані не на Android

Код, що містить загрози, спрямовані не на Android.

Такі додатки не становлять загрози для пристроїв Android чи їх користувачів, однак вони містять компоненти, що можуть зашкодити іншим платформам.

 

Фішинг

Код, який видає себе за отриманий із надійного джерела, просить користувача вказати платіжну інформацію або облікові дані для автентифікації та надсилає їх стороннім особам. До цієї категорії також належить код, який перехоплює облікові дані користувача під час передавання.

Найчастіше об'єктами фішингу стають: облікові дані для доступу до банківських сервісів, номери кредитних карток, імена й паролі облікових записів у соціальних мережах та іграх.

 

Неавторизоване отримання ширших прав

Код, що порушує цілісність системи, зламуючи ізольоване програмне середовище додатка, отримуючи додаткові права або змінюючи чи забороняючи доступ до компонентів, пов'язаних із головними функціями безпеки.

Нижче наведено кілька прикладів.

  • Додатки, що порушують модель дозволів Android або викрадають облікові дані (як-от маркери OAuth) з інших додатків.
  • Додатки, що неправомірно використовують функції, які запобігають їх видаленню чи зупинці.
  • Додатки, що деактивують SELinux.

Додатки для розширення прав, які отримують доступ до пристрою на кореневому рівні без дозволу користувача, належать до категорії додатків для використання пристроїв на кореневому рівні.

 

Програми-шантажисти

Код, що отримує частковий або повний контроль над пристроєм чи даними й вимагає від користувача здійснити оплату чи виконати певну дію для повернення контролю.

Певні програми-шантажисти шифрують дані на пристрої й вимагають оплату за розшифрування та/або змінюють функції адміністрування пристрою так, що пересічний користувач не може їх видалити. Нижче наведено кілька прикладів.

  • Блокування доступу користувача до пристрою й вимагання оплати за повернення контролю.
  • Шифрування даних на пристрої та вимагання оплати нібито за дешифрування.
  • Змінення функцій менеджера правил пристрою та блокування можливості користувача видалити шкідливий код.

Код, що поширюється разом із субсидованими пристроями з метою керування ними, можна виключити з категорії програм-шантажистів, якщо в ньому дотримано вимог стосовно безпечного блокування й керування, користувача належним чином повідомлено про відповідні функції й отримано його згоду.

 

Надання доступу до кореневого рівня

Код, що дозволяє використовувати пристрій на кореневому рівні.

Існує різниця між шкідливими та нешкідливими кодами для використання пристрою на кореневому рівні. Наприклад, нешкідливий додаток для використання пристрою на кореневому рівні заздалегідь попереджає користувача про отримання доступу до кореневого рівня пристрою та не вчиняє інших дій, характерних для інших категорій потенційно шкідливих додатків.

Шкідливі додатки для використання пристрою на кореневому рівні не попереджають користувача про отримання доступу до кореневого рівня або попереджають, однак вчиняють дії, характерні для інших категорій потенційно шкідливих додатків.

 

Спам

Код, що без згоди користувача надсилає повідомлення особам із його списку контактів чи використовує пристрій як ретранслятор для розсилання спаму електронною поштою.

 

Шпигунські програми

Код, що передає персональні дані з пристрою, не повідомивши про це користувача й не отримавши його згоди.

Достатньою умовою для віднесення до категорії шпигунських програм є, наприклад, приховане й неочікуване для користувача передавання таких даних:

  • список контактів;
  • фотографії та інші файли з карти SD, що не належать до цього додатка;
  • контент з електронної пошти користувача;
  • журнал викликів;
  • журнал SMS;
  • історія перегляду та закладки веб-переглядача за умовчанням;
  • інформація з каталогів /data/ інших додатків.

До шпигунських програм також можна віднести дії, які можуть вважатися шпигунством за користувачем. До таких дій належить запис аудіо чи телефонних розмов, а також викрадення даних додатків.

 

Троянські програми

Код, що видається безпечним, наприклад гра, що виглядає як просто гра, однак виконує небажані дії стосовно користувача.

Зазвичай цю категорію потенційно шкідливих додатків використовують у поєднанні з іншими. Троянська програма містить безпечний компонент і прихований шкідливий компонент. Це може бути, наприклад, гра, що непомітно й у фоновому режимі надсилає з пристрою користувача SMS-повідомлення підвищеної вартості.

 

Зауваження щодо незвичних додатків

Нові та рідкісні додатки можуть класифікуватися як незвичні, якщо Google Play Захист не має достатньо даних, щоб підтвердити їхню безпечність. Ці додатки не обов'язково шкідливі, однак не можуть вважатися безпечними без докладнішої перевірки.

 

Примітка щодо категорії бекдорів

Код можна класифікувати як бекдор, ґрунтуючись на його поведінці. Щоб код вважався бекдором, він обов'язково має дозволяти операцію, автоматичне виконання якої дасть змогу віднести код до будь-якої іншої категорії зловмисного програмного забезпечення. Наприклад, якщо додаток дозволяє динамічне завантаження коду й завантажений таким чином код видобуває текстові повідомлення, додаток вважатиметься бекдором.

Однак якщо додаток дозволяє виконання довільного коду, але в нас немає причин вважати, що виконання такого коду покликано ініціювати зловмисну операцію, ми вважатимемо, що цей додаток містить вразливість, але не є не бекдором, і попросимо розробника додати виправлення.

 

Чи корисна ця інформація?
Як можна її покращити?

Потрібна додаткова допомога?

Увійдіть в обліковий запис, щоб отримати додаткову допомогу та швидко вирішити проблему

Пошук
Очистити вікно пошуку
Закрити пошук
Додатки Google
Головне меню
Пошук у довідковому центрі
true
92637
false