Se usó la API de Cloud Translation para traducir esta página.

Categorías de software malicioso

Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (por ejemplo, software malicioso). A través de este principio fundamental, nos esforzamos por proporcionar un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.

El software malicioso es cualquier código que pudiera poner en riesgo a un usuario, a sus datos o a un dispositivo. Se incluyen, entre otros, apps potencialmente dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y apps de software espía. Actualizamos esta lista de manera continua y agregamos nuevas categorías.

Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:

Comprometer la integridad del dispositivo del usuario
Obtén control sobre el dispositivo de un usuario.
Habilita las operaciones remotas para que un atacante pueda acceder, usar o explotar de otro modo un dispositivo infectado.
Transmitir datos personales o credenciales fuera del dispositivo sin la divulgación y el consentimiento adecuados
Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
Estafar al usuario

Una aplicación, un objeto binario o una modificación del framework pueden ser potencialmente dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto se debe a que las apps, los objetos binarios o las modificaciones del framework pueden funcionar de manera diferente según una variedad de variables. Por lo tanto, lo que es perjudicial para un dispositivo Android podría no plantear ningún riesgo para otro dispositivo. Por ejemplo, un dispositivo que ejecuta la versión más reciente de Android no se ve afectado por las apps dañinas que usan API obsoletas para realizar comportamientos maliciosos, pero es posible que un dispositivo que aún ejecute una versión anterior de Android esté en riesgo. Las apps, los objetos binarios o las modificaciones del framework se marcan como software malicioso o APD si claramente plantean un riesgo para algunos o todos los dispositivos y usuarios de Android.

Las categorías de software malicioso que se muestran a continuación reflejan nuestra firme convicción de que los usuarios deben comprender cómo se aprovechan sus dispositivos y promover un ecosistema seguro que permita una sólida innovación y una experiencia confiable del usuario.

Categorías de software malicioso

Puerta trasera

Se trata de código que permite la ejecución de operaciones no deseadas, potencialmente dañinas y controladas de forma remota en un dispositivo.

Estas operaciones pueden incluir el comportamiento que colocaría a la app, el objeto binario o la modificación del framework en una de las otras categorías de software malicioso si se ejecutan de forma automática. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está completamente alineada con categorías como fraude de facturación o software espía comercial. Como resultado, en determinadas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.

Nota: La clasificación por categorías de software malicioso de puerta trasera depende de cómo actúa el código. Una condición necesaria para que cualquier código se clasifique como puerta trasera es que habilita el comportamiento que colocaría el código en una de las otras categorías de software malicioso si se ejecutara de forma automática. Por ejemplo, si una app permite la carga de código dinámico y el código cargado de forma dinámica extrae mensajes de texto, se clasificará como software malicioso de puerta trasera.

Sin embargo, si una app permite la ejecución de un código arbitrario y no existe ningún motivo para creer que la ejecución de este código se agregó para realizar un comportamiento malicioso, se tratará como una vulnerabilidad, en lugar de software malicioso de puerta trasera, y se le pedirá al desarrollador que le aplique un parche.

Fraude en la facturación

Se trata de código que procesa un cobro al usuario de manera intencionalmente engañosa.

El fraude en la facturación de telefonía celular se divide en fraude por SMS, fraude mediante llamadas y fraude en tarifa.

Fraude de SMS

Se trata de código que les cobra a los usuarios por el envío de SMS premium sin su consentimiento o que intenta disimular las actividades de SMS ocultando acuerdos de divulgación o mensajes SMS del operador de telefonía celular que le notifican al usuario sobre los cargos o confirman las suscripciones.

Algunos códigos, aunque técnicamente divulgan el comportamiento de envío de SMS, introducen un comportamiento adicional que da lugar al fraude por SMS. Algunos ejemplos incluyen ocultarle al usuario partes de un acuerdo de divulgación, convertirlo en ilegible y suprimir de forma condicional mensajes SMS del operador de telefonía celular que le informan sobre los cargos o confirman una suscripción.

Fraude telefónico

Se trata de código que genera cobros a los usuarios mediante llamadas a números premium sin su consentimiento.

Fraude de cargos telefónicos

Se trata de código que engaña al usuario para que se suscriba a contenido o lo compre a través de su factura de telefonía móvil.

El fraude en tarifa incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos de esto incluyen facturación directa del proveedor, protocolo de aplicaciones inalámbricas (WAP) y transferencia de tiempo de comunicación móvil. El fraude WAP es uno de los tipos más comunes de fraude en tarifa. El fraude de WAP puede incluir engañar a los usuarios para que hagan clic en un botón de una WebView transparente cargada de forma silenciosa. Cuando se realiza la acción, se inicia una suscripción recurrente y suele piratearse el correo electrónico o SMS de confirmación para impedir que los usuarios noten la transacción financiera.

Stalkerware (software espía comercial)

Se trata de código que recopila o transmite datos personales o sensibles del usuario desde un dispositivo sin la notificación o el consentimiento adecuados, y no muestra una notificación persistente al respecto.

Las apps de stalkerware se orientan a los usuarios de dispositivos mediante la supervisión de datos personales o sensibles, y la transmisión o el acceso a estos datos para terceros.

Las apps diseñadas y comercializadas exclusivamente para que los padres rastreen a sus hijos o a la administración empresarial, siempre que cumplan con todos los requisitos que se describen a continuación, son las únicas apps de vigilancia aceptables. Estas apps no se pueden usar para seguir a nadie más (por ejemplo, un cónyuge) incluso con su conocimiento y permiso, sin importar si se muestra una notificación persistente.

Denegación del servicio (DoS)

Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque de DoS contra otros sistemas y recursos.

Por ejemplo, esto puede ocurrir cuando se envía una gran cantidad de solicitudes HTTP para producir una carga excesiva en servidores remotos.

Aplicaciones de descarga hostil

Se trata de código que no es potencialmente dañino en sí, pero que descarga otras APD.

El código puede ser de descarga hostil de contenido si ocurre lo siguiente:

Hay motivos para creer que se creó con el fin de distribuir APD y descargó APD o contiene código que podría descargar e instalar apps.
Al menos el 5% de las apps descargadas por este son APD con un umbral mínimo de 500 descargas de apps observadas (25 descargas de APD observadas).

Los navegadores principales y las apps para compartir archivos no se consideran de descarga hostil siempre y cuando:

No activan descargas sin la interacción del usuario.
Todas las descargas de APD se inician si el usuario da su consentimiento.

Amenaza no relacionada con Android

Se trata de código que contiene amenazas no relacionadas con Android.

Estas apps no pueden causar daño a los dispositivos ni usuarios de Android, pero contienen componentes que pueden ser dañinos para otras plataformas.

Suplantación de identidad (phishing)

Se trata de código que pretende provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y envía los datos a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de credenciales de usuario en tránsito.

La suplantación de identidad (phishing) suele estar orientada a credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.

Abuso de privilegios elevados

Se trata de código que compromete la integridad del sistema ya que rompe la zona de pruebas de la app, obtiene privilegios elevados o cambia o inhabilita el acceso a funciones principales relacionadas con la seguridad.

Los siguientes son algunos ejemplos:

Una app que infrinja el modelo de permisos de Android o que robe credenciales (como tokens OAuth) de otras apps
Apps que abusan de las funciones para evitar que las desinstalen o las detengan
Una app que inhabilita SELinux

Las apps de elevación de privilegios que otorgan a los dispositivos derechos de administrador sin permiso del usuario se clasifican como apps que otorgan derechos de administrador.

Ransomware

Se trata de código que toma el control parcial o amplio de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.

Algunos ransomware encriptan los datos en el dispositivo y exigen un pago para desencriptarlos, o bien aprovechan las funciones de administración del dispositivo de modo que un usuario típico no pueda quitarlos. Los siguientes son algunos ejemplos:

Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer su control
Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
Aproveche las funciones del administrador de políticas del dispositivo y bloquee la eliminación por parte del usuario.

Se trata de código que se distribuye con el dispositivo y cuyo fin principal es que la administración del dispositivo subsidiado se pueda excluir de la categoría de ransomware siempre y cuando cumpla correctamente con los requisitos de administración y bloqueo seguros, y con los requisitos de divulgación y consentimiento adecuados para los usuarios.

Modificación de dispositivos para obtener permisos de administrador

Se trata de código que modifica el dispositivo para obtener permisos de administrador.

Hay una diferencia en el código de este tipo cuando es malicioso y no malicioso. Por ejemplo, las apps que modifican el dispositivo para tener permisos de administrador le informan al usuario por adelantado que harán esto y no ejecutan otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.

Las apps que modifican el dispositivo para obtener permisos de administrador con fines maliciosos no le notifican al usuario que harán esto, o sí le informan por adelantado sobre el proceso, pero también ejecutan otras acciones que se aplican a otras categorías de APD.

Spam

Se trata de código que envía mensajes no solicitados a los contactos del usuario o usa el dispositivo como retransmisión de spam por correo electrónico.

Software espía

Se trata de código que transmite datos personales fuera del dispositivo sin la notificación o el consentimiento adecuados.

Por ejemplo, la transmisión de la siguiente información sin divulgación o de una manera inesperada para el usuario es suficiente para que se la considere como software espía:

Lista de contactos
Fotos y otros archivos que se guardan en la tarjeta SD o que no son propiedad de la aplicación
Contenido del correo electrónico del usuario
Registro de llamadas
Registro de SMS
Historial web o favoritos del navegador predeterminado
Información de los directorios /data/ de otras apps

Los comportamientos que se puedan considerar como que espían al usuario también se pueden marcar como software espía. Por ejemplo, grabar audio o llamadas realizadas al teléfono, o robar datos de una app.

Troyano

Se trata de código que parece benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario.

Esta clasificación se suele usar en combinación con otras categorías de APD. Un troyano tiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía mensajes SMS premium desde el dispositivo del usuario en segundo plano y sin que el usuario lo sepa.

Poco común

Las apps nuevas y exóticas se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la app sea necesariamente dañina, pero tampoco se puede considerar segura sin un análisis más profundo.

Software no deseado para dispositivos móviles (MUwS)

Google define el software no deseado (UwS) como apps que no son estrictamente software maliciosos, pero son dañinas para el ecosistema de software. El software no deseado para dispositivos móviles (MUwS) se hace pasar por otras apps o recopila al menos uno de los siguientes elementos sin el consentimiento del usuario:

Número de teléfono del dispositivo
Dirección de correo electrónico principal
Información sobre las apps instaladas
Información sobre cuentas de terceros

El seguimiento de MUwS se realiza por separado del software malicioso. Puedes ver las categorías del MUwS aquí.

Advertencias de Google Play Protect

Cuando Google Play Protect detecte un incumplimiento de la política de software malicioso, se mostrará una advertencia para el usuario. Las strings de advertencia para cada incumplimiento están disponibles aquí.