Categorie di malware

Le nostre norme relative al malware sono semplici: l'ecosistema Android, incluso il Google Play Store, e i dispositivi degli utenti dovrebbero essere privi di comportamenti dannosi, ad esempio i malware. Sulla base di questo principio fondamentale, ci impegniamo per offrire un ecosistema Android sicuro per i nostri utenti e i loro dispositivi.

Si definisce malware qualsiasi codice che potrebbe mettere a rischio un dispositivo, un utente o i suoi dati. Il termine malware include, a titolo esemplificativo, applicazioni potenzialmente dannose, programmi binari o modifiche di framework, appartenenti a varie categorie, ad esempio app di spyware, phishing e trojan. L'elenco delle categorie viene completato e aggiornato continuamente da Google.

Sebbene siano diversi per tipologia e capacità, i malware in genere hanno uno dei seguenti obiettivi:

  • Compromettere l'integrità del dispositivo dell'utente.
  • Assumere il controllo del dispositivo dell'utente.
  • Abilitare operazioni controllate a distanza per consentire a un utente malintenzionato di accedere, utilizzare o altrimenti sfruttare un dispositivo infetto.
  • Trasmettere dati personali o credenziali dal dispositivo senza adeguata comunicazione e senza il consenso dell'utente.
  • Diffondere spam o comandi dal dispositivo infetto per colpire altri dispositivi o reti.
  • Defraudare l'utente.

La modifica di un framework, un programma binario o un'app può essere potenzialmente dannosa e, quindi generare comportamenti dannosi, anche se non è intenzionale. Questo perché app, programmi binari o modifiche di framework possono funzionare in modo diverso a seconda di una serie di variabili. Di conseguenza, ciò che è dannoso per un dispositivo Android potrebbe non rappresentare alcun rischio per un altro dispositivo Android. Ad esempio, un dispositivo con la versione più recente di Android non è interessato da app dannose che usano API deprecate per eseguire comportamenti dannosi, ma un dispositivo con una versione ancora in anteprima di Android potrebbe essere a rischio. Modifiche di app, programmi binari o framework vengono segnalate come malware o app potenzialmente dannose se rappresentano chiaramente un rischio per alcuni o per tutti i dispositivi e gli utenti Android.

Le categorie di malware riportate di seguito riflettono la nostra convinzione di base secondo cui gli utenti devono capire come viene sfruttato il loro dispositivo e promuovere un ecosistema sicuro che consenta una solida innovazione e un'esperienza utente affidabile.

Categorie di malware

Porta sul retro

Porta sul retro

Codice che consente l'esecuzione di operazioni controllate a distanza, indesiderate, potenzialmente dannose e su un dispositivo.

Queste operazioni possono includere un comportamento che, se eseguito automaticamente, modificherebbe l'app, il programma binario o il framework in una delle altre categorie di malware. In generale, il backdoor descrive come un'operazione potenzialmente dannosa possa verificarsi su un dispositivo e pertanto non è del tutto in linea con categorie quali frode di fatturazione o spyware commerciale. Di conseguenza, un sottoinsieme di backdoor, in alcune circostanze, viene considerato da Google Play Protect come una vulnerabilità.

Frode di fatturazione

Frode di fatturazione

Codice che effettua automaticamente addebiti all'utente in modo intenzionalmente ingannevole.

La frode di fatturazione su dispositivi mobili può essere: frode tariffaria, SMS fraudolento o chiamata fraudolenta.

SMS fraudolento

Codice che effettua addebiti agli utenti per l'invio di SMS premium senza consenso o che cerca di camuffare le sue attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano l'utente degli addebiti o che confermano gli abbonamenti.

Alcuni codici, anche se tecnicamente comunicano il comportamento di invio degli SMS, introducono un comportamento aggiuntivo che consente l'SMS fraudolento. Alcuni esempi includono: nascondere parti di un contratto di divulgazione all'utente, renderle illeggibili ed eliminare in modo condizionale gli SMS dell'operatore di telefonia mobile che informano l'utente degli addebiti o confermano un abbonamento.

Chiamata fraudolenta

Codice che effettua addebiti agli utenti chiamando numeri a tariffazione maggiorata senza il consenso dell'utente.

frode tariffaria

Codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.

La frode tariffaria include qualsiasi tipo di fatturazione ad eccezione di SMS e chiamate a pagamento. Alcuni esempi sono la fatturazione diretta con l'operatore, il protocollo Wireless Application Protocol (WAP) e il trasferimento del tempo di trasmissione su dispositivi mobili. La frode WAP è uno dei tipi più diffusi di frode tariffaria. Questa attività può includere l'inganno agli utenti di fare clic su un pulsante in un componente WebView trasparente caricato automaticamente. Dopo aver eseguito l'azione, viene avviato un abbonamento ricorrente e l'email o l'SMS di conferma vengono spesso compromessi per evitare che gli utenti si accorgano della transazione finanziaria.

Stalkerware

Stalkerware (spyware commerciale)

Codice che raccoglie e/o trasmette dati utente personali o sensibili da un dispositivo senza un'informativa o un consenso adeguati e non mostra una notifica persistente in merito.

Le app stalkerware scelgono come target gli utenti dei dispositivi monitorando i dati utente personali o sensibili e trasmettendo questi dati o rendendoli accessibili a terze parti.

Le app progettate e commercializzate esclusivamente per consentire ai genitori di monitorare i figli o la gestione aziendale, purché soddisfino completamente i requisiti descritti di seguito, sono le uniche app di sorveglianza accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche con il loro consenso e la loro autorizzazione, a prescindere dalla visualizzazione di una notifica persistente.

Denial of Service

Denial of Service (DoS)

Codice che, all'insaputa dell'utente, esegue un attacco denial of service (DoS) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.

Ad esempio, ciò può accadere inviando un volume elevato di richieste HTTP per produrre un carico eccessivo sui server remoti.

Downloader ostili

Downloader ostili

Codice che non è potenzialmente dannoso di per sé, ma che scarica altre app potenzialmente dannose.

Il codice potrebbe essere un downloader ostile se:

  • C'è motivo di ritenere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato tali app o che contenga codice che potrebbe scaricare e installare app; oppure
  • Almeno il 5% delle app scaricate dal programma è costituito da app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).

I principali browser e app per la condivisione di file non sono considerati downloader ostili purché:

  • Non favoriscono download senza interazione dell'utente.
  • Tutti i download di app potenzialmente dannose vengono avviati da utenti che hanno dato il consenso.
Minaccia non Android

Minaccia non Android

Codice che contiene minacce non Android.

Queste app non possono causare danni all'utente o al dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.

Phishing

Phishing

Codice che finge di provenire da una fonte attendibile, richiede le credenziali di autenticazione o i dati di fatturazione di un utente e invia i dati a una terza parte. Questa categoria si applica anche al codice che intercetta la trasmissione delle credenziali utente in transito.

Tra gli obiettivi di phishing più comuni figurano credenziali bancarie, numeri di carte di credito e credenziali di account online per social network e giochi.

Escalation dei privilegi

Abuso di privilegio elevato

Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati oppure modificando o disattivando l'accesso alle funzioni principali relative alla sicurezza.

Tra gli esempi possibili:

  • Un'app che viola il modello di autorizzazioni Android o sottrae credenziali (ad esempio, token OAuth) da altre app.
  • App che utilizzano funzionalità in modo illecito per evitare disinstallazioni o interruzioni.
  • Un'app che disattiva SELinux.

Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.

Ransomware

Ransomware

Codice che assume il controllo parziale o totale di un dispositivo o dei dati presenti su un dispositivo ed esige che l'utente effettui un pagamento o esegua un'azione per rilasciare il controllo.

Alcuni ransomware criptano i dati sul dispositivo ed esigono un pagamento per decriptarli e/o sfruttano le funzionalità di amministrazione del dispositivo in modo che non possano essere rimossi da un utente tipico. Tra gli esempi possibili:

  • Impedire all'utente di accedere al proprio dispositivo ed esigere denaro per ripristinare il controllo.
  • Crittografia dei dati sul dispositivo ed elaborazione di richieste di pagamento, apparentemente allo scopo di decriptare i dati.
  • Sfruttare le funzionalità di gestione dei criteri dei dispositivi e bloccare la rimozione da parte dell'utente.

Il codice distribuito con il dispositivo il cui scopo principale è la gestione dei dispositivi sovvenzionata può essere escluso dalla categoria di ransomware, a condizione che soddisfi i requisiti di blocco e gestione sicuri e di adeguati requisiti di divulgazione e consenso dell'utente.

Rooting

Rooting

Codice che esegue il rooting del dispositivo.

C'è una differenza tra codice di rooting non dannoso e dannoso. Ad esempio, le app di rooting consentono all'utente di sapere in anticipo che stanno per eseguire il rooting del dispositivo e di non eseguire altre azioni potenzialmente dannose che si applicano ad altre categorie di app potenzialmente dannose.

Le app di rooting dannosi non comunicano all'utente che stanno per eseguire il rooting del dispositivo né lo informano anticipatamente del rooting, ma eseguono anche altre azioni che riguardano altre categorie di app potenzialmente dannose.

Spam

Spam

Codice che invia messaggi non richiesti ai contatti dell'utente o utilizza il dispositivo per l'inoltro di spam via email.


Rooting

Spyware

Codice che trasmette dati personali dal dispositivo senza preavviso o consenso.

Ad esempio, la trasmissione di una qualsiasi delle seguenti informazioni senza informative o in un modo inaspettato per l'utente è sufficiente per essere considerato spyware:

  • Elenco contatti
  • Foto o altri file memorizzati sulla scheda SD o che non sono di proprietà dell'app
  • Contenuti provenienti dall'email dell'utente
  • Registro chiamate
  • Log SMS
  • Cronologia web o preferiti del browser predefinito
  • Informazioni provenienti dalle directory /data/ di altre app.

Possono essere contrassegnati come spyware anche comportamenti che possono essere considerati come spionaggio a danno dell'utente. Ad esempio, la registrazione di audio o di chiamate al telefono o il furto di dati dell'app.

Trojan

Trojan

Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente tale, ma che esegue azioni indesiderate nei confronti dell'utente.

Questa classificazione viene generalmente utilizzata in combinazione con altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia messaggi SMS a pagamento dal dispositivo dell'utente in background e all'insaputa dell'utente.

Non comune

Non comune

Le app nuove e rare possono essere classificate come non comuni se Google Play Protect non dispone di informazioni sufficienti per autorizzarle come app sicure. Ciò non significa che l'app sia necessariamente dannosa, ma senza un'ulteriore revisione non può neanche essere cancellata come sicura.

maschera

Maschere

Un'applicazione che utilizza una varietà di tecniche di evasione per fornire all'utente funzionalità dell'applicazione diverse o false. Queste app si mascherano come applicazioni o giochi legittimi per apparire innocui per gli store e utilizzano tecniche come l'offuscamento, il caricamento dinamico del codice o il cloaking per rivelare contenuti dannosi.

Il mascheramento è simile ad altre categorie di app potenzialmente dannose, in particolare i Trojan, con la differenza principale nelle tecniche utilizzate per offuscare l'attività dannosa.

Software mobile indesiderato

Google definisce software indesiderato (UwS) come app che non sono strettamente malware, ma che sono dannose per l'ecosistema software. Il software indesiderato per dispositivi mobili ruba l'identità di altre app o raccoglie almeno una delle seguenti applicazioni senza il consenso dell'utente:

  • Numero di telefono del dispositivo
  • Indirizzo email principale
  • Informazioni sulle app installate
  • Informazioni sugli account di terze parti

MUwS viene monitorato separatamente dal malware. Puoi visualizzare le categorie di MuwS qui.

Avvisi di Google Play Protect

Quando Google Play Protect rileva una violazione delle norme relative al malware, viene mostrato un avviso per l'utente. Le stringhe di avviso per ogni violazione sono disponibili qui.