Le nostre norme sul malware sono semplici: l'ecosistema Android, compreso il Google Play Store, e i dispositivi degli utenti devono essere privi di comportamenti dannosi (ad esempio malware). Con questo principio fondamentale ci impegniamo a fornire un ecosistema Android sicuro per i nostri utenti e i loro dispositivi Android.
I malware sono codici che potrebbero mettere a rischio un utente, i suoi dati o un dispositivo. I malware includono, a titolo esemplificativo, applicazioni potenzialmente dannose, programmi binari o modifiche del framework, che includono categorie quali trojan, phishing e app spyware. Aggiorniamo e aggiorniamo continuamente nuove categorie.
Sebbene siano diversi per tipo e funzionalità, il malware in genere ha uno dei seguenti obiettivi:
- Compromettere l'integrità del dispositivo dell'utente.
- Assumi il controllo sul dispositivo di un utente.
- consentire alle operazioni controllate a distanza che un utente malintenzionato possa accedere, utilizzare o altrimenti sfruttare un dispositivo infetto.
- Trasmettere dati personali o credenziali dal dispositivo senza adeguata comunicazione e consenso.
- Diffondi spam o comandi dal dispositivo infetto per colpire altri dispositivi o reti.
- Defraudare l'utente.
Le modifiche di un'app, un programma binario o un framework possono essere potenzialmente dannose e, di conseguenza, generare comportamenti dannosi, anche in modo non intenzionale. Questo perché app, programmi binari o modifiche di framework possono funzionare in modo diverso a seconda di una serie di variabili. Pertanto, ciò che è dannoso per un dispositivo Android potrebbe non costituire un rischio per un altro dispositivo Android. Ad esempio, un dispositivo che esegue la versione più recente di Android non è interessato dalle app dannose che utilizzano API deprecate per eseguire comportamenti dannosi, ma un dispositivo che è ancora in esecuzione in una versione molto presto potrebbe essere a rischio. Le modifiche a framework, programmi binari o app vengono segnalate come malware o app potenzialmente dannose se rappresentano un rischio chiaro per alcuni o per tutti i dispositivi e gli utenti Android.
Le categorie di malware di seguito riflettono la nostra convinzione fondamentale che gli utenti debbano comprendere in che modo il loro dispositivo viene sfruttato e promuovere un ecosistema sicuro che consenta una solida innovazione e un'esperienza utente affidabile.
Categorie di malware

Porta posteriore
Codice che consente l'esecuzione di operazioni indesiderate, potenzialmente dannose, controllate da remoto su un dispositivo.
Queste operazioni possono includere un comportamento che inserirebbe la modifica di app, programmi binari o framework in una delle altre categorie di malware se eseguita automaticamente. In generale, backdoor è una descrizione di come un'operazione potenzialmente dannosa può verificarsi su un dispositivo e pertanto non è completamente allineata a categorie come frode di fatturazione o spyware commerciale. Di conseguenza, un sottoinsieme di backdoor, in alcune circostanze, viene considerato da Google Play Protect come una vulnerabilità.

Frode di fatturazione
Codice che addebita automaticamente un importo agli utenti in modo intenzionalmente ingannevole.
Le frodi relative alla fatturazione su dispositivi mobili sono divise in attività fraudolente via SMS, chiamate fraudolente e pedaggi.
Frode via SMS
Codice che addebita agli utenti l'invio di SMS a pagamento senza consenso o cerca di nascondere la propria attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano l'utente degli addebiti o confermano gli abbonamenti.
Alcuni codici, anche se tecnicamente divulgano il comportamento di invio degli SMS, introducono dei comportamenti aggiuntivi che consentono l'invio di SMS fraudolenti. Alcuni esempi sono: nascondere all'utente parti di un contratto di divulgazione, renderle illeggibili e sopprimere in modo condizionale gli SMS dell'operatore di telefonia mobile per informare l'utente degli addebiti o confermare un abbonamento.
Chiamata fraudolenta
Codice che addebita agli utenti chiamate a numeri di telefono premium senza il loro consenso.
Attività fraudolenta pedaggio
Codice che induce con l'inganno gli utenti ad abbonarsi o ad acquistare contenuti tramite la fattura del cellulare.
Le frodi legate ai pedaggi includono qualsiasi tipo di fatturazione, ad eccezione di chiamate e SMS premium. Alcuni esempi sono la fatturazione diretta con l'operatore, il protocollo WAP (Wireless Application Protocol) e il trasferimento in tempo reale dei dispositivi mobili. Le frodi WAP sono uno dei tipi più diffusi di attività fraudolente a pedaggio. Le frodi WAP possono includere indurre con l'inganno gli utenti a fare clic su un pulsante in una WebView trasparente e caricata silenziosamente. Quando si esegue l'azione, viene attivato un abbonamento ricorrente e l'SMS o l'email di conferma vengono spesso compromessi per evitare che gli utenti notino la transazione finanziaria.

Stalkerware (spyware commerciale)
Codice che raccoglie e/o trasmette dati utente personali o sensibili da un dispositivo senza adeguato consenso o consenso e non mostra una notifica persistente in merito.
Le app stalkerware hanno come target gli utenti di dispositivi monitorando i dati utente personali o sensibili e trasmettendo o rendendo questi dati accessibili a terze parti.
Le app progettate e commercializzate esclusivamente per il monitoraggio dei figli da parte dei genitori o per la gestione aziendale, purché siano pienamente conformi ai requisiti descritti di seguito, sono le uniche app di sorveglianza accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche con le loro conoscenze e autorizzazioni, indipendentemente dal fatto che venga visualizzata una notifica persistente.

Denial of Service (DoS)
Codice che, a insaputa dell'utente, esegue un attacco denial of service (DoS) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.
Ad esempio, ciò può accadere inviando un volume elevato di richieste HTTP per produrre un carico eccessivo sui server remoti.

Downloader ostili
Codice che di per sé non è potenzialmente dannoso, ma che scarica altri PHA.
Il codice potrebbe essere un downloader ostile se:
- C'è motivo di credere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato tali app o che contenga codice che potrebbe scaricare e installare app;
- Almeno il 5% delle app scaricate da queste app sono app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).
I principali browser e app di condivisione file non vengono considerati downloader ostili se:
- Non generano download senza interazione da parte dell'utente.
- Tutti i download di app potenzialmente dannose vengono avviati da utenti che hanno dato il consenso.

Minaccia non Android
Codice contenente minacce non Android.
Queste app non possono causare danni all'utente o al dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.

Phishing
Codice che finge di provenire da una fonte attendibile, richiede le credenziali di autenticazione o i dati di fatturazione dell'utente e invia i dati a una terza parte. Questa categoria si applica anche al codice che intercetta la trasmissione delle credenziali dell'utente in transito.
Tra gli obiettivi di phishing comuni ci sono credenziali bancarie, numeri di carte di credito e credenziali di account online per social network e giochi.

Abuso di privilegi elevati
Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati o modificando o disattivando l'accesso alle funzioni principali di sicurezza.
Ecco alcuni esempi:
- Un'app che viola il modello di autorizzazioni Android o ruba le credenziali (ad esempio i token OAuth) di altre app.
- App che utilizzano in modo illecito funzionalità per impedirne la disinstallazione o l'interruzione.
- Un'app che disattiva SELinux.
Le app di escalation dei privilegi che eseguono il root dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.

Ransomware
Codice che assume il controllo parziale o esaustivo di un dispositivo o dei dati su un dispositivo e richiede che l'utente effettui un pagamento o esegua un'azione per rilasciare il controllo.
Alcuni ransomware criptano i dati sul dispositivo e richiedono un pagamento per decriptarli e/o sfruttare le funzionalità di amministrazione del dispositivo in modo che non possano essere rimossi da un utente tipico. Ecco alcuni esempi:
- Bloccare un utente dal proprio dispositivo e richiedere denaro per ripristinare il controllo dell'utente.
- Criptare i dati sul dispositivo ed richiedere il pagamento, apparentemente per decriptarli.
- Utilizzo delle funzionalità di Gestione norme relative ai dispositivi e blocco della rimozione da parte dell'utente.
Il codice distribuito con il dispositivo il cui scopo principale è la gestione di dispositivi sovvenzionati può essere escluso dalla categoria di ransomware, a condizione che quest'ultimo soddisfi i requisiti per la gestione e il blocco sicuri, nonché i requisiti di divulgazione e consenso dell'utente adeguati.

Rooting
Codice che esegue il root del dispositivo.
Esiste una differenza tra il codice rooting dannoso e non dannoso. Ad esempio, eseguire il rooting delle app consente all'utente di sapere in anticipo che eseguirà il rooting del dispositivo e non esegue altre azioni potenzialmente dannose che si applicano ad altre categorie di app potenzialmente dannose.
Le app di rooting dannoso non indicano all'utente che stanno eseguendo il root del dispositivo o non lo informano in anticipo, ma eseguono anche altre azioni che si applicano ad altre categorie di app potenzialmente dannose.

Spam
Codice che invia messaggi non richiesti ai contatti dell'utente o che utilizza il dispositivo come inoltro email di spam.

Spyware
Codice che trasmette dati personali dal dispositivo senza un'adeguata notifica o consenso.
Ad esempio, la trasmissione di una qualsiasi delle seguenti informazioni senza divulgazione o in modo imprevisto per l'utente è sufficiente per essere considerata spyware:
- Elenco contatti
- Foto o altri file della scheda SD o che non sono di proprietà dell'app
- Contenuti dell'email dell'utente
- Registro chiamate
- SMS
- Cronologia web o segnalibri del browser predefinito
- Informazioni provenienti dalle directory /data/ di altre app.
Anche i comportamenti che possono essere considerati come spia dell'utente possono essere contrassegnati come spyware. ad esempio la registrazione di audio o di chiamate effettuate sul telefono o il furto di dati delle app.

Troiano
Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente un gioco, ma che esegue azioni indesiderate nei confronti dell'utente.
Questa classificazione di solito viene utilizzata in combinazione con altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia SMS premium da dispositivo dell'utente in background e a sua insaputa.

Insolito
Le app nuove e rare possono essere classificate come non comuni se Google Play Protect non dispone di informazioni sufficienti per renderle sicure. Ciò non significa che l'app sia necessariamente dannosa, ma che anche senza un'ulteriore revisione non può essere considerata sicura.
Software indesiderato per dispositivi mobili
Google definisce software indesiderato (UwS) come app che non sono malware, ma dannose per l'ecosistema software. Il software indesiderato per dispositivi mobili (MUwS) ruba l'identità di altre app o raccoglie almeno una delle seguenti funzionalità senza il consenso dell'utente:
- Numero di telefono del dispositivo
- Indirizzo email principale
- Informazioni sulle app installate
- Informazioni sugli account di terze parti
Il monitoraggio dei contenuti (MUWS) viene monitorato separatamente dai malware. Puoi visualizzare le categorie di software indesiderato per dispositivi mobili qui.
Avvisi di Google Play Protect
Quando Google Play Protect rileva una violazione delle norme sul malware, viene mostrato un avviso all'utente. Le stringhe di avviso per ogni violazione sono disponibili qui.