Categorias de malware

Nossa política contra malware é simples: o ecossistema Android, inclusive a Google Play Store, e os dispositivos do usuário não podem apresentar comportamentos maliciosos (por exemplo, malware). Com base nesse princípio fundamental, buscamos fornecer um ecossistema Android seguro para nossos usuários e os dispositivos Android deles.

Malware é qualquer código capaz de colocar um usuário, os dados dele ou um dispositivo em risco. O malware inclui aplicativos potencialmente nocivos (PHAs), binários ou modificações do framework que consistem em apps de cavalo de troia, phishing e spyware, entre outros. Além disso, estamos continuamente atualizando e adicionando novas categorias.

Com diferentes tipos e recursos, o malware geralmente tem um dos seguintes objetivos:

  • Comprometer a integridade do dispositivo do usuário
  • Controle o dispositivo de um usuário.
  • Ative operações controladas remotamente para um invasor acessar, usar ou explorar um dispositivo infectado.
  • Transmitir dados pessoais ou credenciais do dispositivo sem a divulgação e o consentimento adequados.
  • Enviar spam ou comandos do dispositivo infectado para afetar outros dispositivos ou redes.
  • Enganar o usuário

Um app, binário ou uma modificação do framework podem ser nocivos e, portanto, gerar um comportamento malicioso, mesmo que essa não tenha sido a intenção. Isso ocorre porque apps, binários ou modificações do framework podem funcionar de forma diferente dependendo de várias variáveis. Portanto, o que é prejudicial a um dispositivo Android pode não representar um risco em outro. Por exemplo, um dispositivo com a versão mais recente do Android não é afetado por apps nocivos que usam APIs descontinuadas para realizar um comportamento malicioso, mas um dispositivo que ainda está executando uma versão muito antiga do Android pode estar em risco. Apps, binários ou modificações do framework serão sinalizados como malware ou PHA se claramente representarem um risco para alguns ou todos os dispositivos e usuários Android.

As categorias de malware abaixo refletem nossa crença fundamental de que os usuários precisam entender como os dispositivos deles são usados e promover um ecossistema seguro que permite inovação robusta e uma experiência do usuário confiável.

Categorias de malware

Porta dos fundos

Porta dos fundos

É um código que permite a execução de operações indesejadas, potencialmente nocivas e controladas remotamente em um dispositivo.

Essas operações podem incluir comportamentos que colocam o app, o binário ou a modificação do framework em uma das outras categorias de malware se forem executadas automaticamente. Em geral, "backdoor" é uma descrição de como uma operação potencialmente nociva pode ocorrer em um dispositivo. Por isso, ela não está totalmente alinhada a categorias como fraude de faturamento ou spyware comercial. Como resultado, um subconjunto de backdoors, em algumas circunstâncias, é tratado pelo Google Play Protect como uma vulnerabilidade.

Fraude de faturamento

Fraude de faturamento

É um código que cobra o usuário automaticamente de maneira enganosa.

As fraudes de faturamento de dispositivos móveis estão divididas entre SMS, chamada e tarifa.

fraude de SMS

É o código que cobra dos usuários pelo envio de SMS premium sem consentimento ou tenta ocultar as atividades de SMS ocultando acordos de divulgação ou mensagens SMS da operadora de celular notificando o usuário sobre cobranças ou confirmando assinaturas.

Alguns códigos, mesmo que tecnicamente divulguem o comportamento de envio de SMS, apresentam outro comportamento que inclui fraude de SMS. Os exemplos incluem ocultar partes de um acordo de divulgação do usuário, tornando-as ilegíveis e suprimir condicionalmente mensagens SMS da operadora de celular informando ao usuário sobre cobranças ou confirmando uma assinatura.

Fraude de chamada

É um código que cobra aos usuários fazendo chamadas para números premium sem o consentimento deles.

Fraude de cobrança

É um código que induz os usuários a assinar ou comprar conteúdo pela conta do smartphone.

A fraude por tarifa inclui qualquer tipo de faturamento, exceto SMS e chamadas premium. Exemplos disso incluem Faturamento direto via operadora, protocolo de aplicativo sem fio (WAP, na sigla em inglês) e transferência de tempo do ar para dispositivos móveis. A fraude por WAP é um dos tipos mais comuns de fraude de cobrança. A fraude de WAP pode incluir induzir os usuários a clicar em um botão em um WebView transparente e carregado silenciosamente. Ao realizar a ação, uma assinatura recorrente é iniciada, e o SMS ou e-mail de confirmação geralmente é invadido para evitar que os usuários percebam a transação financeira.

Software de stalkerware

Stalkerware (Spyware comercial)

É um código que coleta e/ou transmite dados pessoais ou sensíveis do usuário de um dispositivo sem aviso ou consentimento adequado e não mostra uma notificação contínua de que isso está acontecendo.

Apps de stalkerware segmentam usuários de dispositivos monitorando dados pessoais ou sensíveis e transmitindo ou tornando esses dados acessíveis a terceiros.

Os únicos apps de vigilância aceitáveis são os projetados e comercializados exclusivamente para os pais monitorarem os filhos ou o gerenciamento empresarial, desde que atendam totalmente aos requisitos descritos abaixo. Eles não podem ser usados para monitorar outras pessoas (um cônjuge, por exemplo), mesmo com conhecimento ou permissão delas, ainda que uma notificação contínua seja exibida.

Negação de serviço

Negação de serviço (DoS)

É um código que, sem o conhecimento do usuário, executa um ataque de negação de serviço (DoS) ou faz parte de um ataque DoS distribuído contra outros sistemas e recursos.

Por exemplo, isso pode acontecer ao enviar um volume alto de solicitações HTTP para produzir carga excessiva em servidores remotos.

Ferramentas de download hostis

Ferramentas de download hostis

É um código que não é potencialmente nocivo por si só, mas faz o download de outros PHAs.

O código pode ser um componente de downloads hostil se:

  • houver motivos para acreditar que ele foi criado para espalhar PHAs e tenha feito o download de PHAs ou contendo código que possa fazer o download e instalar aplicativos; ou
  • Pelo menos 5% dos apps transferidos por download são PHAs com um limite mínimo de 500 downloads observados do app (25 downloads de PHA observados).

Os principais navegadores e apps de compartilhamento de arquivos não serão considerados componentes de download hostis quando:

  • não geram downloads sem a interação do usuário; e
  • Todos os downloads de PHA são iniciados por usuários que deram consentimento.
Ameaça que não é do Android

Ameaça que não é do Android

Código com ameaças que não são do Android.

Esses apps não podem causar danos ao usuário ou dispositivo Android, mas contêm componentes que são potencialmente nocivos a outras plataformas.

Phishing

Phishing

É um código que finge ser de uma fonte confiável, solicita as credenciais de autenticação ou as informações de faturamento de um usuário e envia os dados a terceiros. Esta categoria também se aplica ao código que intercepta a transmissão de credenciais do usuário em trânsito.

São alvos comuns de phishing: credenciais bancárias, números de cartão de crédito e credenciais de contas on-line para redes sociais e jogos.

Escalonamento de privilégios

Abuso de privilégios elevados

É um código que compromete a integridade do sistema ao romper o sandbox do app, receber privilégios elevados ou alterar ou desativar o acesso às principais funções relacionadas à segurança.

Por exemplo:

  • Um app que viola o modelo de permissões do Android ou rouba credenciais (como tokens OAuth) de outros apps.
  • Apps que abusam de recursos para impedir que sejam desinstalados ou interrompidos
  • Um app que desativa o SELinux

Apps com escalonamento de privilégios que dão acesso root a dispositivos sem a permissão do usuário são classificados como apps de acesso root.

Ransomware

Ransomware

É um código que toma o controle parcial ou extensivo de um dispositivo ou de dados em um dispositivo e exige que o usuário faça um pagamento ou realize uma ação para liberar o controle.

Alguns ransomwares criptografam dados no dispositivo e exigem pagamento para descriptografar os dados e/ou aproveitam os recursos de administração do dispositivo para que não possam ser removidos por um usuário típico. Por exemplo:

  • Bloquear um usuário do dispositivo e exigir dinheiro para restaurar o controle do usuário.
  • Criptografar dados no dispositivo e exigir pagamento para descriptografar os dados.
  • Aproveitar os recursos do Gerenciador de políticas de dispositivos e bloquear a remoção pelos usuários.

O código distribuído com o dispositivo que tem como objetivo principal o gerenciamento subsidiado de dispositivos pode ser excluído da categoria de ransomware, desde que atenda aos requisitos de bloqueio e gerenciamento seguros e aos requisitos adequados de divulgação e consentimento do usuário.

Acesso root

Acesso root

É um código que faz root no dispositivo.

Existe uma diferença entre códigos de acesso root maliciosos e não maliciosos. Por exemplo, apps de acesso root permitem que o usuário saiba com antecedência que eles vão fazer root no dispositivo e não executar outras ações potencialmente prejudiciais que se aplicam a outras categorias de PHA.

Apps de root maliciosos não informam ao usuário que vão fazer root no dispositivo ou informam com antecedência sobre o acesso root, mas também executam outras ações que se aplicam a outras categorias de PHA.

Spam

Spam

Código que envia mensagens não solicitadas para os contatos do usuário ou usa o dispositivo para redirecionamento de spam de e-mail.


Acesso root

Spyware

É um código que transmite dados pessoais para fora do dispositivo sem o devido consentimento ou aviso.

Por exemplo, a transmissão de qualquer uma das informações a seguir sem divulgações ou de maneira inesperada para o usuário é suficiente para ser considerada spyware:

  • Lista de contatos
  • Fotos ou outros arquivos do cartão SD ou que não sejam de propriedade do app
  • Conteúdo do e-mail do usuário
  • Registro de chamadas
  • Registro de SMS
  • Histórico da Web ou favoritos do navegador padrão
  • Informações dos diretórios /data/ de outros apps.

Comportamentos considerados espionagem também podem ser considerados spyware. Por exemplo, gravar áudios ou chamadas feitas para o smartphone ou roubar dados do app.

Cavalo de troia

Cavalo de troia

Código que parece ser benigno, como um jogo que alega ser apenas um jogo, mas que realiza ações indesejáveis contra o usuário.

Essa classificação geralmente é usada em combinação com outras categorias de PHA. Um cavalo de troia tem um componente inofensivo e um componente nocivo oculto. Por exemplo, um jogo que envia mensagens SMS premium do dispositivo em segundo plano e sem o conhecimento do usuário.

Incomum

Incomum

Apps novos e raros poderão ser classificados como incomuns se o Google Play Protect não tiver informações suficientes para considerá-los seguros. Isso não significa que o app é necessariamente nocivo, mas, sem uma análise mais aprofundada, ele também não pode ser marcado como seguro.

máscaras

Máscaras

Um aplicativo que utiliza várias técnicas de evasão para oferecer ao usuário uma funcionalidade de aplicativo diferente, ou falsa. Esses apps mascaram a si mesmos como aplicativos ou jogos legítimos para parecerem inofensivos para as app stores e usam técnicas como ofuscação, carregamento de código dinâmico ou técnicas de cloaking para revelar conteúdo malicioso.

O Maskware é semelhante a outras categorias de PHA, especificamente as de troia, com a principal diferença sendo as técnicas usadas para ofuscar a atividade maliciosa.

Software indesejado para dispositivos móveis (MUwS, na sigla em inglês)

O Google define software indesejado (UwS) como apps que não são apenas malware, mas são prejudiciais ao ecossistema de software. O software indesejado para dispositivos móveis (MUwS, na sigla em inglês) falsifica a identidade de outros apps ou coleta pelo menos um dos seguintes itens sem o consentimento do usuário:

  • Número de telefone do dispositivo
  • endereço de e-mail principal;
  • Informações sobre apps instalados
  • Informações sobre contas de terceiros

O MUwS é monitorado separadamente do malware. Veja as categorias de MUwS aqui.

Avisos do Google Play Protect

Quando o Google Play Protect detecta uma violação da política contra malware, um aviso é exibido para o usuário. As strings de aviso para cada violação estão disponíveis neste link.