惡意軟件

程式碼讓攻擊者以遙控方式在裝置上執行不必要且可能有害的操作。

這些操作包括在自動執行後出現會導致應用程式、二進位程式或框架修改內容歸類為其他惡意軟件類別的行為。一般來說，「後門」通常用作說明可能有害的操作如何在裝置上發生，這與帳單欺詐或商業間諜軟件等類別不完全相符。因此，在部分情況下，Google Play Protect 會將某幾種後門視為安全漏洞。

程式碼有意以欺詐方式自動向使用者收費。

流動帳單欺詐分為短訊欺詐、通話欺詐和收費欺詐。

短訊欺詐
程式碼在未經同意傳送收費短訊後向使用者收費，或透過隱藏披露協議或流動服務供應商通知使用者收費或確認訂閱的短訊，嘗試掩飾其短訊活動。

部分程式碼即使在技術上披露短訊傳送行為，卻會造成其他容許短訊欺詐的行為。例子包括向使用者隱藏披露協議的部分內容，或將內容設為無法讀取，以及有條件地壓制流動服務供應商通知使用者收費或確認訂閱的短訊。

通話欺詐
程式碼在未經使用者同意致電收費號碼後，向使用者收費。

收費欺詐
程式碼誘使使用者透過流動電話帳單訂閱或購買內容。

收費欺詐包括任何類型的帳單，但不包括收費短訊和收費通話。這種欺詐的例子包括流動網絡供應商直接結帳、無線存取點 (WAP) 和流動通話時間轉移。WAP 欺詐是收費欺詐中最常見的一種。WAP 詐騙包括誘使使用者點擊自動載入的透明 WebView 按鈕。執行該操作即會開始定期訂閱，但確認短訊或電郵通常會被截取，讓使用者不會注意到該金錢交易。

程式碼從裝置上收集個人或敏感的使用者資料，然後將資料傳送給第三方 (企業或其他個人) 以作監控用途。

應用程式必須提供充分的明確披露聲明，並根據《使用者資料政策》的規定徵求同意。

監控應用程式指引

專為監控個人 (例如家長監控子女或企業管理監控個別員工) 設計及推銷的應用程式是唯一可接受的監控應用程式，但前提是必須完全符合下述要求。不論有否持續顯示通知，都不得在未經他人 (例如配偶) 許可或在對方不知情下追蹤他們。這些應用程式必須在資訊清單檔案中使用 IsMonitoringTool 元數據標示，適當地標明為監控應用程式。

監控應用程式必須符合以下要求：

• 應用程式不得自稱為間諜或秘密監察解決方案。
• 應用程式不得隱藏或遮蔽追蹤行為，或嘗試誤導使用者有關這類功能。
• 運作中的應用程式任何時候都必須向使用者呈現持續通知和清楚識別應用程式的獨特圖示。
• 應用程式必須在「Google Play 商店」描述中披露監控或追蹤功能。
• Google Play 上的應用程式和應用程式資訊不得提供任何違反條款的方法來啟用或存取功能，例如連結至寄存在 Google Play 以外的違規 APK。
• 應用程式必須遵守任何適用法例。您須自行負責確定自己的應用程式在目標地區的合法性。

在使用者不知情的情況下，程式碼執行拒絕服務 (DoS) 攻擊，或是作為針對其他系統和資源的分散式 DoS 攻擊的一部分。

舉例來說，程式碼可傳送大量 HTTP 要求，以在遠端伺服器上產生過量負載，從而產生這個攻擊。

程式碼本身可能無害，但下載其他 PHA。

在下列情況下，程式碼可能是惡意下載程式：

• 有理由相信程式碼的建立旨在散佈 PHA，並有已下載的 PHA 或含有可下載及安裝應用程式的程式碼；或者
• 至少 5% 所下載的應用程式是 PHA，下限是 500 次已觀察的應用程式下載 (25 次觀察到 PHA 下載)。

只要符合下列情況，主要的瀏覽器和檔案分享應用程式不會被視為惡意下載程式：

• 不會在沒有使用者互動的情況下驅動下載；以及
• 所有 PHA 經使用者同意後才開始下載。

程式碼含有非 Android 威脅。

這些應用程式不會對 Android 使用者或裝置造成傷害，但含有的組件可能對其他平台有害。

泛指會偽裝來自可信的來源，要求取得使用者驗證憑證或帳單資料，並將資料傳送給第三方的程式碼。此類別亦適用於中途截取使用者認證資料的程式碼。

常見的仿冒詐騙目標包括銀行憑證、信用卡號碼，以及社交網絡和遊戲的網上帳戶憑證。

程式碼會破壞應用程式沙箱、取得進階權限，或者變更或停用核心安全性功能的存取權，藉此影響系統的完整性。

例子包括：

• 應用程式違反 Android 權限模型，或從其他應用程式竊取憑證 (例如 OAuth 憑證)。
• 應用程式濫用功能，讓使用者無法將其解除安裝或停用。
• 停用 SELinux 的應用程式。

未經使用者授權即取得裝置 Root 權限的權限提升應用程式，會被歸類為具有 root 權限的應用程式。

程式碼會取得裝置或裝置上資料的部分或廣泛控制權，並要求使用者付款或執行特定動作以取回控制權。

部分勒索軟件會將裝置上的資料加密，並要求使用者付款以解密資料，以及/或利用裝置管理員功能，讓一般使用者無法將其移除。例子包括：

• 鎖定使用者的裝置，並要求使用者付款以取回控制權。
• 加密裝置上的資料，並聲稱使用者須付款才可解密資料。
• 利用裝置政策管理員功能，禁止使用者將其移除。

針對隨裝置發佈的程式碼，如果其主要用途是要分擔裝置管理工作，只要確實符合安全鎖定與管理的要求，並已向使用者充分披露相關資訊及徵求同意，就不會被歸類為勒索軟件。

程式碼在裝置上有 root 權限。

有 root 權限的非惡意與惡意程式碼之間有分別。舉例來說，有 root 權限的非惡意應用程式會預先通知使用者在裝置上有 root 權限，並且不會執行適用於 PHA 類別的其他可能有害操作。

有 root 權限的惡意應用程式不會通知使用者將在裝置上進行 root 權限操作，或者在預先通知使用者將進行 root 權限操作時，同時執行適用於其他 PHA 類別的其他操作。

程式碼會向使用者的聯絡人傳送垃圾訊息，或使用裝置轉發垃圾電郵。

間諜軟件是惡意應用程式、程式碼或行為，將收集、竊取或分享與符合政策的功能無關的使用者/裝置資料。

在未有充分通知或同意的情況下，疑似監視使用者或竊取資料的惡意程式碼或行為亦會被視為間諜軟件。

舉例來說，間諜軟件違規行為包括但不限於：

• 錄音或錄製來電通話內容；
• 竊取應用程式資料；
• 在使用者未預期和/或沒有充分通知或同意的情況下，含惡意第三方程式碼 (例如 SDK) 的應用程式傳送裝置上的資料。

所有應用程式亦必須符合所有《Google Play 開發人員計劃政策》，包括使用者和裝置資料政策，如《垃圾流動軟件政策》、《使用者資料政策》、《存取敏感資料的權限和 API 政策》和《SDK 要求》。

程式碼看起來無害 (例如聲稱純粹是遊戲的遊戲)，但會對使用者執行不當動作。

此類別通常會與其他 PHA 類別一起使用。木馬程式包含無害的組件和隱藏的有害組件，例如在使用者不知情的情況下，擅自在背景從使用者的裝置傳送收費短訊的遊戲。

針對不常見的新應用程式，如果 Google Play Protect 擁有的相關資料不足，無法確定該應用程式是否安全，就會將其歸類為不常見的應用程式。雖然不一定表示該應用程式有害，但在未經進一步審查的情況下，也無法確定其安全。

後門惡意軟件類別是根據程式碼的行為歸類。程式碼在自動執行後出現會導致其歸類為其他惡意軟件類別的行為，才會界定為後門程式。舉例來說，如果應用程式會動態載入程式碼，同時動態載入的程式碼會擷取短訊，該應用程式就會歸類為後門惡意軟件。

不過，如果應用程式允許任意執行程式碼，且我們沒有理由認為執行此程式碼是為了進行惡意行為，則會將該應用程式視為有安全漏洞 (而非歸類為後門惡意軟件)，並要求開發人員進行修補。

這種應用程式會使用不同躲避技術，為使用者提供不同或虛假的應用程式功能。這些應用程式會假扮成正當應用程式或遊戲，讓應用程式商店視為無害，並使用編碼隱匿、動態載入程式碼或隱藏內容等技術來釋放出惡意內容。

Maskware 與其他 PHA 類別相似 (尤其是特洛伊木馬程式)，但主要的差別為其用於隱匿惡意活動技術有所不同。