دسته بندی بدافزارها

خط‌مشی بدافزار ما ساده است، اکوسیستم Android از جمله فروشگاه Google Play و دستگاه‌های کاربر باید عاری از رفتارهای مخرب (مثلاً بدافزار) باشند. از طریق این اصل اساسی، ما در تلاش هستیم تا یک اکوسیستم اندروید ایمن را برای کاربران خود و دستگاه‌های اندرویدی آنها فراهم کنیم.

بدافزار هر کدی است که می‌تواند کاربر، داده‌های کاربر یا دستگاهی را در معرض خطر قرار دهد. بدافزار شامل، اما نه محدود به، برنامه های بالقوه مضر (PHA)، باینری ها، یا اصلاحات چارچوب، متشکل از دسته هایی مانند تروجان ها، فیشینگ، و برنامه های جاسوسی است و ما به طور مداوم در حال به روز رسانی و اضافه کردن دسته های جدید هستیم.

بدافزار اگرچه از نظر نوع و قابلیت متفاوت است، اما معمولاً یکی از اهداف زیر را دارد:

  • به خطر انداختن یکپارچگی دستگاه کاربر.
  • کنترل دستگاه کاربر را به دست آورید.
  • عملیات کنترل از راه دور را برای یک مهاجم فعال کنید تا به یک دستگاه آلوده دسترسی پیدا کند، از آن استفاده کند یا از آن بهره برداری کند.
  • اطلاعات شخصی یا اعتبارنامه را بدون افشا و رضایت کافی از دستگاه منتقل کنید.
  • انتشار هرزنامه یا دستورات از دستگاه آلوده برای تأثیرگذاری بر دستگاه ها یا شبکه های دیگر.
  • از کاربر کلاهبرداری کنید.

یک برنامه، باینری یا اصلاح چارچوب می‌تواند به طور بالقوه مضر باشد، و بنابراین می‌تواند رفتار مخربی ایجاد کند، حتی اگر قصد مضر نباشد. این به این دلیل است که برنامه‌ها، باینری‌ها یا تغییرات چارچوب می‌توانند بسته به متغیرهای مختلف عملکرد متفاوتی داشته باشند. بنابراین، آنچه برای یک دستگاه اندرویدی مضر است ممکن است برای دستگاه اندرویدی دیگر خطری نداشته باشد. برای مثال، دستگاهی که آخرین نسخه اندروید را اجرا می‌کند تحت تأثیر برنامه‌های مضری قرار نمی‌گیرد که از APIهای منسوخ برای انجام رفتارهای مخرب استفاده می‌کنند، اما دستگاهی که هنوز نسخه بسیار اولیه Android را اجرا می‌کند ممکن است در خطر باشد. اگر برنامه‌ها، باینری‌ها یا اصلاحات چارچوب به‌عنوان بدافزار یا PHA علامت‌گذاری شوند، اگر به وضوح برای برخی یا همه دستگاه‌ها و کاربران Android خطر ایجاد کنند.

دسته‌بندی‌های بدافزار زیر، باور اساسی ما را منعکس می‌کنند که کاربران باید بدانند که چگونه از دستگاهشان استفاده می‌شود و یک اکوسیستم امن را ترویج می‌کنند که نوآوری قوی و تجربه کاربری قابل اعتماد را ممکن می‌سازد.

دسته بندی بدافزارها

درب پشتی

درب پشتی

کدی که امکان اجرای عملیات ناخواسته، بالقوه مضر با کنترل از راه دور را بر روی یک دستگاه فراهم می کند.

این عملیات ممکن است شامل رفتاری باشد که در صورت اجرای خودکار، برنامه، باینری یا اصلاح چارچوب را در یکی از دسته‌های بدافزار دیگر قرار دهد. به طور کلی، درب پشتی توصیفی است از اینکه چگونه یک عملیات بالقوه مضر می‌تواند روی یک دستگاه اتفاق بیفتد و بنابراین کاملاً با دسته‌هایی مانند تقلب در صورت‌حساب یا نرم‌افزارهای جاسوسی تجاری همسو نیست. در نتیجه، زیرمجموعه ای از درهای پشتی، تحت برخی شرایط، توسط Google Play Protect به عنوان یک آسیب پذیری تلقی می شوند.

تقلب در صورتحساب

تقلب در صورتحساب

کدی که به طور خودکار کاربر را به روشی عمدی فریبنده شارژ می کند.

تقلب در صورت‌حساب تلفن همراه به تقلب پیامکی، کلاهبرداری تماس و کلاهبرداری عوارض تقسیم می‌شود.

کلاهبرداری پیامکی

کدی که کاربران را برای ارسال اس ام اس ممتاز بدون رضایت هزینه می کند، یا سعی می کند فعالیت های پیامکی خود را با مخفی کردن قراردادهای افشا یا پیام های اس ام اس اپراتور تلفن همراه که کاربر را از هزینه ها مطلع می کند یا اشتراک را تأیید می کند، پنهان کند.

برخی از کدها، حتی اگر از نظر فنی رفتار ارسال پیامک را فاش کنند، رفتار دیگری را معرفی می‌کنند که تقلب پیامک را تطبیق می‌دهد. به عنوان مثال می‌توان به پنهان کردن بخش‌هایی از توافق‌نامه افشا از کاربر، غیرقابل خواندن آن‌ها و لغو مشروط پیامک‌های اپراتور تلفن همراه که کاربر را از هزینه‌ها مطلع می‌کند یا اشتراک را تأیید می‌کند، اشاره کرد.

کلاهبرداری تماس بگیرید

کدی که با برقراری تماس با شماره‌های پریمیوم بدون رضایت کاربر، هزینه‌ای را از کاربران دریافت می‌کند.

تقلب عوارض

کدی که کاربران را فریب می دهد تا از طریق قبض تلفن همراه خود به اشتراک یا خرید محتوا اقدام کنند.

کلاهبرداری عوارض شامل هر نوع صورتحساب به جز پیامک و تماس های حق بیمه است. نمونه هایی از این موارد عبارتند از صورتحساب مستقیم شرکت مخابراتی، پروتکل برنامه کاربردی بی سیم (WAP) و انتقال زمان پخش تلفن همراه. کلاهبرداری WAP یکی از رایج ترین انواع کلاهبرداری های Toll است. کلاهبرداری WAP می‌تواند شامل فریب دادن کاربران برای کلیک کردن بر روی دکمه‌ای در یک WebView شفاف و بی‌صدا باشد. پس از انجام این عمل، یک اشتراک تکراری آغاز می شود و پیامک یا ایمیل تأیید اغلب برای جلوگیری از توجه کاربران به تراکنش مالی ربوده می شود.

استالکرور

Stalkerware (جاسوس افزار تجاری)

کدی که داده‌های شخصی یا حساس کاربر را از دستگاهی بدون اطلاع یا رضایت کافی جمع‌آوری و/یا انتقال می‌دهد و اعلان دائمی مبنی بر وقوع این اتفاق را نشان نمی‌دهد.

برنامه‌های Stalkerware با نظارت بر داده‌های شخصی یا حساس کاربر، و انتقال یا در دسترس قرار دادن این داده‌ها برای اشخاص ثالث، کاربران دستگاه را هدف قرار می‌دهند.

برنامه‌هایی که منحصراً برای والدین طراحی و به بازار عرضه شده‌اند تا فرزندان یا مدیریت شرکت‌شان را ردیابی کنند، مشروط بر اینکه به‌طور کامل با الزامات توضیح داده شده در زیر مطابقت داشته باشند، تنها برنامه‌های نظارت قابل قبول هستند. این برنامه‌ها را نمی‌توان برای ردیابی شخص دیگری (مثلاً همسر) حتی با اطلاع و اجازه آنها، صرف نظر از اینکه اعلان دائمی نمایش داده می‌شود، استفاده کرد.

خود داری از خدمات

انکار سرویس (DoS)

کدی که بدون اطلاع کاربر، یک حمله انکار سرویس (DoS) را اجرا می کند یا بخشی از یک حمله DoS توزیع شده علیه سیستم ها و منابع دیگر است.

به عنوان مثال، این می تواند با ارسال حجم بالایی از درخواست های HTTP برای تولید بار بیش از حد روی سرورهای راه دور اتفاق بیفتد.

دانلود کنندگان متخاصم

دانلود کنندگان متخاصم

کدی که به خودی خود مضر نیست، اما PHA های دیگر را دانلود می کند.

کد ممکن است یک دانلود کننده متخاصم باشد اگر:

  • دلیلی وجود دارد که باور کنیم برای گسترش PHA ها ایجاد شده است و PHA ها را دانلود کرده است یا حاوی کدهایی است که می تواند برنامه ها را دانلود و نصب کند. یا
  • حداقل 5٪ از برنامه های دانلود شده توسط آن PHA با حداقل آستانه 500 بارگیری برنامه مشاهده شده (25 بارگیری PHA مشاهده شده) هستند.

مرورگرهای اصلی و برنامه های اشتراک گذاری فایل تا زمانی که دانلود کننده های متخاصم در نظر گرفته نمی شوند:

  • آنها دانلودها را بدون تعامل کاربر انجام نمی دهند. و
  • همه دانلودهای PHA با رضایت کاربران آغاز می شود.
تهدید غیر اندرویدی

تهدید غیر اندرویدی

کدی که حاوی تهدیدات غیر اندرویدی است.

این برنامه‌ها نمی‌توانند به کاربر یا دستگاه Android آسیبی وارد کنند، اما حاوی اجزایی هستند که به طور بالقوه برای سایر پلتفرم‌ها مضر هستند.

فیشینگ

فیشینگ

کدی که وانمود می‌کند از یک منبع قابل اعتماد می‌آید، اعتبار احراز هویت یا اطلاعات صورت‌حساب کاربر را درخواست می‌کند و داده‌ها را برای شخص ثالث ارسال می‌کند. این دسته همچنین برای کدهایی اعمال می شود که از انتقال اعتبار کاربر در حین انتقال جلوگیری می کنند.

اهداف رایج فیشینگ شامل اعتبار بانکی، شماره کارت اعتباری، و اعتبار حساب آنلاین برای شبکه‌های اجتماعی و بازی‌ها است.

افزایش امتیازات

افزایش سوء استفاده از امتیازات

کدی که یکپارچگی سیستم را با شکستن جعبه ایمنی برنامه، به دست آوردن امتیازات بالا، یا تغییر یا غیرفعال کردن دسترسی به عملکردهای اصلی مرتبط با امنیت، به خطر می اندازد.

مثالها عبارتند از:

  • برنامه‌ای که مدل مجوزهای Android را نقض می‌کند یا اعتبارنامه‌ها (مانند نشانه‌های OAuth) را از سایر برنامه‌ها می‌دزدد.
  • برنامه‌هایی که از ویژگی‌ها برای جلوگیری از حذف نصب یا توقف آن‌ها سوء استفاده می‌کنند.
  • برنامه ای که SELinux را غیرفعال می کند.

برنامه‌های افزایش امتیاز که دستگاه‌های بدون اجازه کاربر را روت می‌کنند، به عنوان برنامه‌های روت‌کننده طبقه‌بندی می‌شوند.

باج افزار

باج افزار

کدی که کنترل جزئی یا گسترده یک دستگاه یا داده‌های روی دستگاه را در اختیار می‌گیرد و از کاربر می‌خواهد که پرداختی انجام دهد یا اقدامی برای آزاد کردن کنترل انجام دهد.

برخی از باج‌افزارها داده‌های دستگاه را رمزگذاری می‌کنند و برای رمزگشایی داده‌ها و/یا استفاده از ویژگی‌های سرپرست دستگاه به گونه‌ای که یک کاربر معمولی نتواند آن‌ها را حذف کند، پرداخت می‌خواهد. مثالها عبارتند از:

  • قفل کردن کاربر از دستگاه خود و مطالبه پول برای بازگرداندن کنترل کاربر.
  • رمزگذاری داده ها روی دستگاه و درخواست پرداخت، ظاهراً برای رمزگشایی داده ها.
  • استفاده از ویژگی های مدیر خط مشی دستگاه و مسدود کردن حذف توسط کاربر.

کد توزیع شده با دستگاهی که هدف اصلی آن مدیریت دستگاه یارانه‌ای است، ممکن است از دسته باج‌افزار حذف شود، مشروط بر اینکه الزامات قفل و مدیریت ایمن و الزامات افشا و رضایت کافی کاربر را با موفقیت برآورده کنند.

ریشه زایی

ریشه زایی

کدی که دستگاه را روت می کند.

بین کدهای روت غیر مخرب و مخرب تفاوت وجود دارد. برای مثال، برنامه‌های روت کردن، از قبل به کاربر اطلاع می‌دهند که قرار است دستگاه را روت کنند و سایر اقدامات بالقوه مضر را که برای سایر دسته‌های PHA اعمال می‌شود، انجام نمی‌دهند.

برنامه‌های روت‌کننده مخرب به کاربر اطلاع نمی‌دهند که قرار است دستگاه را روت کنند، یا از قبل در مورد روت کردن به کاربر اطلاع می‌دهند، بلکه اقدامات دیگری را نیز انجام می‌دهند که برای سایر دسته‌های PHA اعمال می‌شود.

هرزنامه ها

هرزنامه ها

کدی که پیام های ناخواسته را به مخاطبین کاربر ارسال می کند یا از دستگاه به عنوان رله هرزنامه ایمیل استفاده می کند.


ریشه زایی

نرم افزارهای جاسوسی

کدی که اطلاعات شخصی را بدون اطلاع یا رضایت کافی از دستگاه خارج می کند.

به عنوان مثال، انتقال هر یک از اطلاعات زیر بدون افشاگری یا به روشی غیرمنتظره برای کاربر برای در نظر گرفتن نرم افزارهای جاسوسی کافی است:

  • لیست مخاطبین
  • عکس‌ها یا فایل‌های دیگر از کارت SD یا که متعلق به برنامه نیستند
  • مطالب از ایمیل کاربر
  • گزارش تماس
  • گزارش پیامک
  • تاریخچه وب یا نشانک های مرورگر مرورگر پیش فرض
  • اطلاعات از دایرکتوری های /data/ سایر برنامه ها.

رفتارهایی که می تواند به عنوان جاسوسی از کاربر در نظر گرفته شود نیز می تواند به عنوان جاسوس افزار علامت گذاری شود. به عنوان مثال، ضبط صدا یا ضبط تماس های برقرار شده با تلفن، یا سرقت داده های برنامه.

تروجان

تروجان

کدی که به نظر می رسد خوش خیم است، مانند بازی هایی که ادعا می کنند فقط یک بازی هستند، اما اقدامات نامطلوبی را علیه کاربر انجام می دهند.

این طبقه بندی معمولاً در ترکیب با سایر دسته های PHA استفاده می شود. یک تروجان یک جزء بی ضرر و یک جزء مضر پنهان دارد. به عنوان مثال، یک بازی که پیام های SMS پریمیوم را از دستگاه کاربر در پس زمینه و بدون اطلاع کاربر ارسال می کند.

غیر معمول

غیر معمول

اگر Google Play Protect اطلاعات کافی برای پاک کردن آنها را به عنوان ایمن نداشته باشد، می‌توان برنامه‌های جدید و کمیاب را به‌عنوان غیرمعمول طبقه‌بندی کرد. این بدان معنا نیست که برنامه لزوماً مضر است، اما بدون بررسی بیشتر نمی توان آن را به عنوان ایمن نیز پاک کرد.

ماسک افزار

ماسک افزار

برنامه‌ای که از انواع تکنیک‌های فرار استفاده می‌کند تا عملکردهای متفاوت یا جعلی برنامه را به کاربر ارائه دهد. این برنامه‌ها خود را به‌عنوان برنامه‌ها یا بازی‌های قانونی پنهان می‌کنند تا برای فروشگاه‌های برنامه بی‌ضرر به نظر برسند و از تکنیک‌هایی مانند مبهم‌سازی، بارگذاری کد پویا یا پنهان‌سازی برای افشای محتوای مخرب استفاده می‌کنند.

Maskware مشابه سایر دسته‌های PHA، به‌ویژه Trojan است، با تفاوت اصلی تکنیک‌های مورد استفاده برای مبهم کردن فعالیت‌های مخرب.

نرم افزار ناخواسته موبایل (MUwS)

گوگل نرم افزارهای ناخواسته (UwS) را به عنوان برنامه هایی تعریف می کند که به شدت بدافزار نیستند، اما برای اکوسیستم نرم افزار مضر هستند. نرم افزار ناخواسته موبایل (MUwS) جعل هویت برنامه های دیگر یا حداقل یکی از موارد زیر را بدون رضایت کاربر جمع آوری می کند:

  • شماره تلفن دستگاه
  • آدرس ایمیل اصلی
  • اطلاعات مربوط به برنامه های نصب شده
  • اطلاعات مربوط به حساب های شخص ثالث

MUwS به طور جداگانه از بدافزار ردیابی می شود. می توانید دسته بندی های MUwS را در اینجا مشاهده کنید.

هشدارهای Google Play Protect

هنگامی که Google Play Protect نقض خط‌مشی بدافزار را تشخیص دهد، یک هشدار برای کاربر نمایش داده می‌شود. رشته های هشدار برای هر تخلف در اینجا موجود است.