Categorías de software malicioso

Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (por ejemplo, software malicioso). A través de este principio fundamental, nos esforzamos por ofrecer un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.

Software malicioso es cualquier código que pueda poner en riesgo a un usuario, sus datos o un dispositivo. Se incluyen, entre otros, aplicaciones potencialmente dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y apps de software espía. Actualizamos esta lista de manera continua con nuevas categorías.

Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:

  • Comprometer la integridad del dispositivo del usuario
  • Obtener control sobre el dispositivo de un usuario
  • Habilitar operaciones controladas de forma remota para que un atacante pueda acceder a un dispositivo infectado, usarlo o abusar de él de otro modo
  • Transmitir datos personales o credenciales fuera del dispositivo sin la divulgación ni el consentimiento adecuados.
  • Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
  • Estafar al usuario

Una app, un objeto binario o una modificación del framework pueden ser potencialmente dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto se debe a que las apps, los objetos binarios o las modificaciones del framework pueden funcionar de manera diferente según diversas variables. Por lo tanto, lo que es dañino para un dispositivo Android puede no suponer un riesgo para otro dispositivo Android. Por ejemplo, un dispositivo que ejecuta la versión más reciente de Android no se ve afectado por apps dañinas que usan APIs obsoletas para realizar un comportamiento malicioso, pero sí podría estar en riesgo un dispositivo que ejecuta una versión muy antigua de Android. Las apps, los objetos binarios o las modificaciones del framework se marcan como software malicioso o APD si claramente plantean un riesgo para todos los dispositivos y usuarios de Android.

Las categorías de software malicioso que se muestran a continuación reflejan nuestra creencia fundamental de que los usuarios deben comprender cómo se aprovechan sus dispositivos y promover un ecosistema seguro que permita una sólida innovación y una experiencia del usuario confiable.

Categorías de software malicioso

Puerta trasera

Puerta trasera

Código que permite que se ejecuten operaciones no deseadas, potencialmente dañinas y controladas de forma remota en un dispositivo.

Estas operaciones pueden incluir un comportamiento que colocaría a la app, el objeto binario o la modificación del framework en una de las otras categorías de software malicioso si se ejecutaran automáticamente. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está completamente alineada con categorías como fraude de facturación o software espía comercial. Como resultado, en algunas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.

fraude de facturación

fraude de facturación

Se trata de código que cobra automáticamente al usuario de manera intencionalmente engañosa.

El fraude en la facturación móvil se divide en fraude por SMS, fraude mediante llamadas y fraude en tarifa.

Fraude de SMS

Se trata de código que les cobra a los usuarios por enviar SMS premium sin su consentimiento o que intenta ocultar sus actividades de SMS ocultando acuerdos de divulgación o mensajes SMS del operador de telefonía celular que notifican al usuario sobre los cargos o confirman las suscripciones.

Parte del código, aunque técnicamente divulga el comportamiento de envío de SMS, introduce un comportamiento adicional que da lugar al fraude por SMS. Algunos ejemplos incluyen ocultar partes de un acuerdo de divulgación del usuario, hacer que sean ilegibles y suprimir de forma condicional mensajes SMS del operador de telefonía celular para informarles al usuario sobre los cargos o confirmar una suscripción.

fraude telefónico

Se trata de código que cobra a los usuarios mediante llamadas a números premium sin su consentimiento.

fraude de cargos telefónicos

Se trata de código que engaña a los usuarios para que se suscriban a contenido o lo compren a través de su factura de teléfono celular.

El fraude en tarifa incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos de esto incluyen la facturación directa del operador, el protocolo de aplicación inalámbrica (WAP) y la transferencia de tiempo de aire móvil. El fraude de WAP es uno de los tipos de fraude de peaje más predominantes. El fraude con WAP puede incluir engañar a los usuarios para que hagan clic en un botón de un WebView transparente que se carga de manera silenciosa. Cuando se realiza la acción, se inicia una suscripción recurrente y suele piratearse el correo electrónico o SMS de confirmación para evitar que los usuarios noten la transacción financiera.

Software de espionaje

Stalkerware (software espía comercial)

Se trata de código que recopila o transmite datos personales o sensibles del usuario desde un dispositivo sin aviso ni consentimiento adecuados, y no muestra una notificación persistente al respecto.

Las apps de stalkerware se enfocan en los usuarios de los dispositivos mediante la supervisión de sus datos personales o sensibles, y la transmisión de esos datos o su acceso a terceros.

Las apps diseñadas y comercializadas exclusivamente para que los padres sigan a sus hijos o para la administración empresarial son las únicas apps de vigilancia aceptables, siempre que cumplan por completo con los requisitos que se describen a continuación. Estas apps no se pueden usar para seguir a nadie más (por ejemplo, un cónyuge), incluso con el conocimiento y permiso de la persona, más allá de si se muestra una notificación persistente.

Denegación del servicio

Denegación del servicio (DoS)

Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque DoS distribuido contra otros sistemas y recursos.

Por ejemplo, esto puede suceder cuando se envía un gran volumen de solicitudes HTTP para producir una carga excesiva en servidores remotos.

Aplicaciones de descarga hostil

Aplicaciones de descarga hostil

Se trata de código que no es potencialmente dañino en sí, pero que descarga otras APD.

El código puede ser de descarga hostil en los siguientes casos:

  • Hay motivos para creer que se creó con el fin de distribuir APD y descargó APD o contiene código que podría descargar e instalar apps.
  • Al menos el 5% de las apps que descarga son APD, con un umbral mínimo de 500 descargas de apps observadas (25 descargas de APD observadas).

Los principales navegadores y apps de uso compartido de archivos no se consideran apps de descarga hostiles siempre que tengan las siguientes características:

  • No generan descargas sin la interacción del usuario.
  • Todas las descargas de APD se inician si el usuario da su consentimiento.
Amenaza no relacionada con Android

Amenaza no relacionada con Android

Se trata de código que contiene amenazas no relacionadas con Android.

Estas apps no pueden causar daño a los usuarios ni dispositivos Android, pero contienen componentes potencialmente dañinos para otras plataformas.

Phishing

Phishing

Se trata de código que pretende provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y envía los datos a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de las credenciales del usuario en tránsito.

Los objetivos comunes de la suplantación de identidad (phishing) incluyen credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.

Elevación de privilegios

Abuso de privilegios elevados

Se trata de código que compromete la integridad del sistema, ya que trasciende la zona de pruebas de la app, obtiene privilegios elevados o cambia o inhabilita el acceso a funciones básicas relacionadas con la seguridad.

Los siguientes son algunos ejemplos:

  • Apps que no cumplen con el modelo de permisos de Android o que roban credenciales (p. ej., tokens de OAuth) de otras apps
  • Apps que abusan de las funciones para evitar que las desinstalen o las detengan
  • Aplicaciones que inhabilitan SELinux

Las apps de elevación de privilegios que otorgan a los dispositivos permisos de administrador sin el permiso del usuario se clasifican como apps con permisos de administrador.

Ransomware

Ransomware

Se trata de código que toma el control parcial o amplio de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.

Algunos ransomware encripta los datos en el dispositivo y exige un pago para desencriptarlos, o bien aprovecha las funciones de administrador del dispositivo de modo que un usuario común no pueda quitarlos. Los siguientes son algunos ejemplos:

  • Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer su control
  • Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
  • Aprovechar las funciones del Administrador de políticas del dispositivo y bloquear la eliminación por parte del usuario

El código que se distribuye con el dispositivo y cuyo objetivo principal es la administración de dispositivos subsidiados podría excluirse de la categoría de ransomware siempre que cumpla satisfactoriamente con los requisitos de administración y bloqueo seguros, y con los requisitos adecuados de divulgación y consentimiento del usuario.

Modificación de dispositivos para obtener permisos de administrador (Rooting)

Modificación de dispositivos para obtener permisos de administrador (Rooting)

Se trata de código que modifica el dispositivo para tener permisos de administrador.

Existe una diferencia entre el código no malicioso y el malicioso. Por ejemplo, las apps que modifican el dispositivo le permiten saber de antemano que lo harán y no ejecutan otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.

Las apps que modifican el dispositivo para obtener permisos de administrador con fines maliciosos no le informan al usuario que harán esto, o lo hacen con anticipación, pero también ejecutan otras acciones que se aplican a otras categorías de APD.

Spam

Spam

Se trata de código que envía mensajes no solicitados a los contactos del usuario o usa el dispositivo como retransmisor de spam por correo electrónico.


Modificación de dispositivos para obtener permisos de administrador (Rooting)

Software espía

Se trata de código que transmite datos personales fuera del dispositivo sin la notificación ni el consentimiento correspondientes.

Por ejemplo, la transmisión de la siguiente información sin divulgaciones o de una manera inesperada para el usuario es suficiente para que se considere como software espía:

  • Lista de contactos
  • Fotos y otros archivos que se guardan en la tarjeta SD, o que no pertenecen a la app
  • Contenido del correo electrónico del usuario
  • Registro de llamadas
  • Registro de SMS
  • Historial web o favoritos del navegador predeterminado
  • Información de los directorios /datos/ de otras apps

Los comportamientos que se puedan considerar como una forma de espiar al usuario también se pueden marcar como software espía. Por ejemplo, grabar audio o grabar llamadas realizadas al teléfono, o robar datos de apps.

Troyano

Troyano

Código que parece benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario

Por lo general, esta clasificación se usa en combinación con otras categorías de APD. Un troyano contiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía mensajes SMS premium desde el dispositivo del usuario en segundo plano y sin que el usuario lo sepa.

Poco común

Poco común

Las apps nuevas y raras se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la app sea necesariamente dañina, pero tampoco se puede considerar segura sin una revisión más detallada.

mascarillas

Máscaras

Una aplicación que usa una variedad de técnicas de evasión para entregar al usuario una funcionalidad de aplicación diferente o falsa. Estas apps se enmascaran como aplicaciones o juegos legítimos para parecer inocuas a las tiendas de aplicaciones y usan técnicas como ofuscación, carga de código dinámico o encubrimiento para revelar contenido malicioso.

El software de enmascaramiento es similar a otras categorías de APD, específicamente troyano, con la principal diferencia son las técnicas que se usan para ofuscar la actividad maliciosa.

Software No Deseado para Dispositivos Móviles (MUwS)

Google define el software no deseado (UwS) como las apps que no son estrictamente software malicioso, pero que son dañinas para el ecosistema de software. El software no deseado para dispositivos móviles (MUwS) se hace pasar por otras apps o recopila al menos una de las siguientes opciones sin el consentimiento del usuario:

  • Número de teléfono del dispositivo
  • Dirección de correo electrónico principal
  • Información sobre las apps instaladas
  • Información sobre las cuentas de terceros

Se realiza un seguimiento de MUwS separado del software malicioso. Puedes ver las categorías del MUwS aquí.

Advertencias de Google Play Protect

Cuando Google Play Protect detecte un incumplimiento de la política de software malicioso, se mostrará una advertencia para el usuario. Las cadenas de advertencia para cada incumplimiento están disponibles aquí.