Nossa política contra malware é simples: o ecossistema Android, incluindo a Google Play Store, e os dispositivos do usuário não podem apresentar comportamentos maliciosos (por exemplo, malware). Com base nesse princípio fundamental, buscamos fornecer um ecossistema Android seguro para nossos usuários e os dispositivos Android deles.
Malware é qualquer código capaz de colocar um usuário, os dados dele ou um dispositivo em risco. O malware inclui aplicativos potencialmente nocivos (PHAs), binários ou modificações do framework que consistem em apps de trojans, phishing e spyware, entre outros. Além disso, estamos continuamente atualizando e adicionando novas categorias.
Com diferentes tipos e recursos, o malware geralmente tem um dos seguintes objetivos:
- Comprometer a integridade do dispositivo do usuário
- Controlar um dispositivo do usuário
- Ativar operações controladas remotamente para que um invasor acesse, use ou explore um dispositivo infectado.
- Transmitir dados pessoais ou credenciais do dispositivo sem a divulgação e o consentimento adequados.
- Disseminar spam ou comandos do dispositivo infectado para afetar outros dispositivos ou redes.
- Enganar o usuário
Um app, binário ou uma modificação do framework podem ser potencialmente nocivos e, portanto, gerar um comportamento malicioso, mesmo que essa não tenha sido a intenção. Isso ocorre porque apps, binários ou modificações do framework podem funcionar de maneira diferente, dependendo de uma série de variáveis. Portanto, o que é nocivo para um dispositivo Android pode não representar um risco para outro. Por exemplo, um dispositivo com a versão mais recente do Android não é afetado por apps nocivos que usam APIs descontinuadas para realizar um comportamento malicioso, mas um dispositivo que ainda está executando uma versão muito antiga do Android pode estar em risco. Apps, binários ou modificações do framework vão ser sinalizados como malware ou PHA se claramente representarem um risco para alguns ou todos os dispositivos e usuários do Android.
As categorias de malware abaixo refletem nossa crença fundamental de que os usuários precisam entender como os dispositivos deles são usados e promover um ecossistema seguro que permite inovação robusta e uma experiência do usuário confiável.
Categorias de malware
Porta dos fundos
É um código que permite a execução de operações indesejadas, potencialmente nocivas e controladas remotamente em um dispositivo.
Essas operações podem incluir comportamentos que colocam o app, o binário ou a modificação do framework em uma das outras categorias de malware, se executado automaticamente. Em geral, "backdoor" é uma descrição de como uma operação potencialmente nociva pode ocorrer em um dispositivo. Portanto, ele não está totalmente alinhado com categorias como fraude de faturamento ou spyware comercial. Como resultado, um subconjunto de backdoors, em algumas circunstâncias, é tratado pelo Google Play Protect como uma vulnerabilidade.
Fraude de faturamento
É um código que cobra o usuário automaticamente de maneira enganosa.
As fraudes de faturamento de dispositivos móveis são divididas entre SMS, chamada e cobrança.
Fraude de SMS
É um código que cobra os usuários pelo envio de SMS premium sem consentimento ou que tenta ocultar as atividades de SMS ao ocultar contratos de divulgação ou mensagens SMS da operadora de dispositivos móveis notificando o usuário sobre cobranças ou confirmando assinaturas.
Alguns códigos, mesmo que tecnicamente divulguem o comportamento de envio de SMS, introduzem um comportamento adicional que inclua fraudes de SMS. Por exemplo, ocultar partes de um contrato de divulgação para torná-las ilegíveis e suprimir condicionalmente mensagens SMS da operadora de celular informando o usuário sobre cobranças ou confirmando uma assinatura.
Fraude de chamada
Código que emite cobranças ao fazer chamadas para números premium sem o consentimento do usuário.
Fraude de pedágio
É um código que induz os usuários a assinar ou comprar conteúdo pela conta do smartphone.
A fraude por tarifa inclui qualquer tipo de faturamento, exceto SMS e chamadas premium. Exemplos disso incluem Faturamento direto via operadora, protocolo de aplicativos sem fio (WAP, na sigla em inglês) e transferência de créditos para dispositivos móveis. A fraude por WAP é um dos tipos mais comuns de fraude de pedágio. A fraude de WAP pode induzir os usuários a clicar em um botão em uma WebView transparente e carregada silenciosamente. Ao realizar a ação, uma assinatura recorrente é iniciada, e o SMS ou e-mail de confirmação costuma ser invadido para evitar que os usuários percebam a transação financeira.
Stalkerware (Spyware comercial)
É um código que coleta e/ou transmite dados pessoais ou sensíveis do usuário de um dispositivo sem aviso ou consentimento adequado e não exibe uma notificação contínua de que isso está acontecendo.
Apps de stalkerware são direcionados aos usuários do dispositivo monitorando dados pessoais ou confidenciais e transmitindo ou tornando esses dados acessíveis a terceiros.
Os únicos apps de vigilância aceitáveis são os projetados e comercializados exclusivamente para que os pais monitorem as crianças ou o gerenciamento de empresas, desde que obedeçam totalmente aos requisitos descritos abaixo. Eles não podem ser usados para monitorar outras pessoas (um cônjuge, por exemplo), mesmo com conhecimento e permissão delas, independente da exibição de uma notificação contínua.
Negação de serviço (DoS)
Código que, sem o conhecimento do usuário, executa um ataque de negação de serviço (DoS) ou faz parte de um ataque de DoS distribuído contra outros sistemas e recursos.
Por exemplo, isso pode acontecer ao enviar um alto volume de solicitações HTTP para produzir uma carga excessiva em servidores remotos.
Itens de download hostis
É um código que não é potencialmente nocivo por si só, mas faz o download de outros PHAs.
O código pode ser um componente de downloads hostil se:
- houver motivos para acreditar que ele foi criado para espalhar PHAs e fez o download de PHAs ou contém código que pode fazer o download e instalar aplicativos; ou
- Pelo menos 5% dos apps transferidos por download são PHAs com um limite mínimo de 500 downloads observados (25 downloads de PHA observados).
Os principais navegadores e apps de compartilhamento de arquivos não são considerados componentes de download hostis, desde que:
- não façam downloads sem a interação do usuário; e
- todos os downloads de PHA sejam iniciados por usuários que deram consentimento.
Ameaça que não é do Android
É um código com ameaças que não são do Android.
Esses apps não podem causar danos ao usuário ou dispositivo Android, mas contêm componentes potencialmente nocivos a outras plataformas.
Phishing
É um código que finge ser de uma fonte confiável, solicita credenciais de autenticação do usuário ou informações de faturamento e envia os dados a terceiros. Essa categoria também se aplica a códigos que interceptam a transmissão de credenciais do usuário em trânsito.
Os alvos comuns de phishing incluem credenciais bancárias, números de cartão de crédito e credenciais de contas on-line para redes sociais e jogos.
Abuso de privilégios elevados
É um código que comprometa a integridade do sistema ao quebrar o sandbox do app, receber privilégios elevados ou alterar ou desativar o acesso às principais funções relacionadas à segurança.
Por exemplo:
- Um app que viola o modelo de permissões do Android ou rouba credenciais (como tokens OAuth) de outros apps.
- Apps que abusam de recursos para impedir que sejam desinstalados ou interrompidos
- Um app que desativa o SELinux
Apps com escalonamento de privilégios que dão acesso root a dispositivos sem a permissão do usuário são classificados como apps de acesso root.
Ransomware
É um código que assume o controle parcial ou total de um ou mais dados de um dispositivo e exige que o usuário faça um pagamento ou realize uma ação para liberar o controle.
Alguns ransomwares criptografam dados no dispositivo e exigem pagamento para descriptografar os dados e/ou aproveitam os recursos de administração do dispositivo para que não possam ser removidos por um usuário típico. Por exemplo:
- Bloquear um usuário fora do dispositivo e exigir dinheiro para restaurar o controle do usuário.
- Criptografar dados no dispositivo e exigir pagamento para descriptografar os dados.
- Aproveitar os recursos do Gerenciador de políticas de dispositivos e bloquear a remoção pelo usuário.
O código distribuído com o dispositivo que tem como objetivo principal o gerenciamento subsidiado do dispositivo pode ser excluído da categoria de ransomware, desde que atenda aos requisitos de bloqueio e gerenciamento seguros e aos requisitos adequados de divulgação e consentimento do usuário.
Acesso root
É um código que dá acesso root ao dispositivo.
Existe uma diferença entre códigos com acesso root maliciosos e não maliciosos. Por exemplo, apps de acesso root informam ao usuário antecipadamente que eles vão fazer root no dispositivo e não executar outras ações potencialmente prejudiciais que se aplicam a outras categorias de PHA.
Apps de root maliciosos não informam o usuário que vão fazer root no dispositivo ou informam com antecedência sobre o acesso root, mas também executam outras ações que se aplicam a outras categorias de PHA.
Spam
É um código que envia mensagens não solicitadas aos contatos do usuário ou usa o dispositivo para redirecionamento de spam de e-mail.
Spyware
É um código que transmite dados pessoais do dispositivo sem o devido consentimento ou aviso.
Por exemplo, a transmissão de qualquer uma das informações a seguir sem divulgações ou de maneira inesperada para o usuário é suficiente para ser considerada spyware:
- Lista de contatos
- Fotos ou outros arquivos do cartão SD ou que não sejam de propriedade do app
- Conteúdo do e-mail do usuário
- Registro de chamadas
- Registro de SMS
- Histórico da Web ou favoritos do navegador padrão
- Informações dos diretórios /data/ de outros apps.
Comportamentos considerados espionagem do usuário também podem ser sinalizados como spyware. Por exemplo, gravar áudios ou chamadas feitas para o smartphone ou roubar dados do app.
Cavalo de troia
Código que parece ser benigno, como um jogo que alega ser apenas um jogo, mas realiza ações indesejáveis contra o usuário.
Essa classificação geralmente é usada em combinação com outras categorias de PHA. Um cavalo de Troia tem um componente inofensivo e um componente nocivo. Por exemplo, um jogo que envia mensagens SMS premium do dispositivo em segundo plano e sem o conhecimento do usuário.
Incomum
Apps novos e raros poderão ser classificados como incomuns se o Google Play Protect não tiver informações suficientes para considerá-los seguros. Isso não significa que o app é necessariamente nocivo, mas, sem uma análise mais detalhada, ele também não pode ser considerado seguro.
Utensílios de máscara
É um aplicativo que utiliza várias técnicas de evasão para oferecer ao usuário funcionalidades diferentes ou falsas. Esses apps mascaram a si mesmos como aplicativos ou jogos legítimos para parecer inofensivos às app stores e usam técnicas como ofuscação, carregamento de código dinâmico ou técnicas de cloaking para revelar conteúdo malicioso.
O Maskware é semelhante a outras categorias de PHA, especificamente o Trojan, com a principal diferença sendo as técnicas usadas para ofuscar a atividade maliciosa.
Software indesejado para dispositivos móveis (MUwS, na sigla em inglês)
O Google define software indesejado (UwS, na sigla em inglês) como apps que não são estritamente malware, mas são prejudiciais ao ecossistema de software. O software indesejado para dispositivos móveis (MUwS, na sigla em inglês) falsifica a identidade de outros apps ou coleta pelo menos uma das seguintes opções sem o consentimento do usuário:
- Número de telefone do dispositivo
- endereço de e-mail principal;
- Informações sobre os apps instalados
- Informações sobre contas de terceiros
Os MUwS são monitorados separadamente de malware. Veja as categorias de MUwS aqui.
Avisos do Google Play Protect
Quando o Google Play Protect detecta uma violação da política de malware, um aviso é exibido para o usuário. As strings de alerta para cada violação estão disponíveis neste link.