Categorie di malware

Le nostre norme relative al malware sono semplici: l'ecosistema Android, incluso il Google Play Store, e i dispositivi degli utenti dovrebbero essere privi di comportamenti dannosi (ad esempio malware). Sulla base di questo principio fondamentale, ci impegniamo per offrire un ecosistema Android sicuro per i nostri utenti e i loro dispositivi Android.

Per malware si intende qualsiasi codice che potrebbe mettere a rischio un dispositivo, un utente o i suoi dati. I malware includono, a titolo esemplificativo, applicazioni potenzialmente dannose, programmi binari o modifiche di framework, appartenenti a varie categorie, ad esempio app di spyware, phishing e trojan. L'elenco delle categorie viene aggiornato e aggiunto costantemente.

Sebbene siano diversi per tipologia e capacità, i malware in genere hanno uno dei seguenti obiettivi:

  • Compromettere l'integrità del dispositivo dell'utente.
  • Assumere il controllo del dispositivo dell'utente.
  • Abilita operazioni controllate a distanza per consentire a un utente malintenzionato di accedere, utilizzare o altrimenti sfruttare un dispositivo infetto.
  • Trasmettere dati personali o credenziali dal dispositivo senza adeguata divulgazione e consenso.
  • Diffondere spam o comandi dal dispositivo infetto per colpire altri dispositivi o reti.
  • Defraudare l'utente.

La modifica di un framework, un programma binario o un'app può essere potenzialmente dannosa e, di conseguenza, generare comportamenti dannosi, anche se non destinati a essere dannosi. Questo perché le modifiche di framework, programmi binari o app possono funzionare in modo diverso a seconda di una serie di variabili. Di conseguenza, ciò che è dannoso per un dispositivo Android potrebbe non rappresentare alcun rischio per un altro. Ad esempio, un dispositivo con la versione più recente di Android non è interessato da app dannose che usano API deprecate per eseguire comportamenti dannosi, ma un dispositivo con una versione molto precedente di Android potrebbe essere a rischio. Le modifiche di app, programmi binari o framework vengono segnalati come malware o app potenzialmente dannose se rappresentano chiaramente un rischio per alcuni o tutti i dispositivi e gli utenti Android.

Le categorie di malware riportate di seguito riflettono la nostra idea di base secondo la quale gli utenti dovrebbero capire in che modo il loro dispositivo viene sfruttato e promuovere un ecosistema sicuro che garantisca un'innovazione solida e un'esperienza utente affidabile.

Categorie di malware

Porta posteriore

Porta posteriore

Codice che consente l'esecuzione su un dispositivo di operazioni con controllo remoto indesiderate, potenzialmente dannose.

Queste operazioni possono includere un comportamento che, se eseguito automaticamente, metterebbe la modifica di app, programma binario o framework in una delle altre categorie di malware. In generale, il termine backdoor descrive in che modo un'operazione potenzialmente dannosa può verificarsi su un dispositivo e, pertanto, non si allinea completamente con categorie quali frode di fatturazione o spyware commerciale. Di conseguenza, in alcune circostanze, un sottoinsieme di backdoor viene considerato da Google Play Protect come una vulnerabilità.

Fatturazione fraudolenta

Fatturazione fraudolenta

Codice che effettua addebiti automatici all'utente in modo intenzionalmente ingannevole.

La frode di fatturazione con dispositivi mobili può essere: frode relativa a SMS, chiamata fraudolenta e frode tariffaria.

SMS fraudolento

Codice che addebita agli utenti l'invio di SMS premium senza consenso o che cerca di camuffare le sue attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o che confermano gli abbonamenti.

Un po' di codice, anche se tecnicamente comunica il comportamento di invio di SMS, introduce un comportamento aggiuntivo che consente l'attività fraudolenta relativa agli SMS. Alcuni esempi sono: nascondere parti di un accordo di divulgazione all'utente, renderle illeggibili ed eliminare in modo condizionale gli SMS dell'operatore di telefonia mobile che informano l'utente degli addebiti o confermano un abbonamento.

Chiamata fraudolenta

Codice che effettua addebiti agli utenti chiamando numeri a pagamento senza il consenso dell'utente.

frode tariffaria

Codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.

La frode tariffaria include qualsiasi tipo di fatturazione ad eccezione di SMS e chiamate a pagamento. Alcuni esempi sono la fatturazione diretta con l'operatore, il protocollo per le applicazioni wireless (WAP) e il trasferimento del tempo di trasmissione su dispositivi mobili. La frode WAP è uno dei tipi più diffusi di frode tariffaria. Le attività fraudolente WAP includono indurre con l'inganno gli utenti a fare clic su un pulsante in una WebView trasparente caricata in modo invisibile. Dopo aver eseguito l'azione, viene avviato un abbonamento ricorrente e l'email o l'SMS di conferma vengono spesso compromessi per evitare che gli utenti si accorgano della transazione finanziaria.

Stalkerware

Stalkerware (spyware commerciale)

Codice che raccoglie e/o trasmette dati utente personali o sensibili da un dispositivo senza un'adeguata comunicazione o consenso e non mostra una notifica persistente in merito.

Le app stalkerware scelgono come target gli utenti dei dispositivi monitorando i dati utente personali o sensibili e trasmettendo o rendendo questi dati accessibili a terze parti.

Le app progettate e commercializzate esclusivamente per consentire ai genitori di monitorare i figli o la gestione aziendale, purché soddisfino completamente i requisiti descritti di seguito, sono le uniche app di sorveglianza accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche se con il loro consenso e la loro autorizzazione, a prescindere dalla visualizzazione di una notifica persistente.

Denial of Service

Denial of Service (DoS)

Codice che, a insaputa dell'utente, esegue un attacco denial of service (DoS) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.

Ad esempio, ciò può accadere inviando un volume elevato di richieste HTTP per generare un carico eccessivo sui server remoti.

Downloader ostili

Downloader ostili

Codice che non è potenzialmente dannoso di per sé, ma che scarica altre app potenzialmente dannose.

Il codice potrebbe essere un downloader ostile se:

  • Esiste motivo di ritenere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato tali app o che contenga codice che potrebbe scaricare e installare app; oppure
  • Almeno il 5% delle app scaricate dal sito è costituito da app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).

I principali browser e app per la condivisione di file non sono considerati downloader ostili se:

  • Non favoriscono download senza interazione dell'utente; e
  • Tutti i download di app potenzialmente dannose vengono avviati da utenti che hanno dato il consenso.
Minaccia non Android

Minaccia non Android

Codice che contiene minacce non Android.

Queste app non possono danneggiare l'utente o il dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.

Phishing

Phishing

Codice che finge di provenire da una fonte attendibile, richiede le credenziali di autenticazione o i dati di fatturazione di un utente e invia i dati a una terza parte. Questa categoria si applica anche al codice che intercetta la trasmissione delle credenziali utente in transito.

Tra gli obiettivi di phishing più comuni ci sono credenziali bancarie, numeri di carte di credito e credenziali di account online per social network e giochi.

Riassegnazione privilegi

Abuso di privilegio elevato

Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati oppure modificando o disattivando l'accesso alle funzioni principali relative alla sicurezza.

Ecco alcuni esempi:

  • Un'app che viola il modello di autorizzazioni Android o sottrae le credenziali (ad esempio i token OAuth) da altre app.
  • App che utilizzano funzionalità in modo illecito per evitare disinstallarle o interromperle.
  • Un'app che disattiva SELinux.

Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.

Ransomware

Ransomware

Codice che assume il controllo parziale o completo di un dispositivo o dei dati su un dispositivo ed esige che l'utente effettui un pagamento o esegua un'azione per rilasciare il controllo.

Alcuni ransomware criptano i dati sul dispositivo ed esigono un pagamento per decriptarli e/o sfruttare le funzionalità di amministrazione del dispositivo in modo che non possano essere rimossi da un utente tipico. Ecco alcuni esempi:

  • Impedire all'utente di accedere al dispositivo ed esigere denaro per ripristinare il controllo da parte dell'utente.
  • Crittografia dei dati sul dispositivo ed esigimento di pagamenti, apparentemente per decriptare i dati.
  • Sfruttare le funzionalità di Gestione dei criteri dei dispositivi e bloccare la rimozione da parte dell'utente.

Il codice distribuito con il dispositivo il cui scopo principale è la gestione dei dispositivi sovvenzionata può essere escluso dalla categoria ransomware, a condizione che soddisfi correttamente i requisiti di blocco e gestione sicuri e di adeguati requisiti di divulgazione e consenso da parte dell'utente.

Rooting

Rooting

Codice che esegue il rooting del dispositivo.

C'è una differenza tra codice di rooting non dannoso e dannoso. Ad esempio, le app di rooting consentono all'utente di sapere in anticipo che sta per eseguire il rooting del dispositivo e non eseguono altre azioni potenzialmente dannose che si applicano ad altre categorie di app potenzialmente dannose.

Le app di rooting dannoso non comunicano all'utente che stanno per eseguire il rooting del dispositivo, né lo informano in anticipo del rooting, ma eseguono anche altre azioni che si applicano ad altre categorie di app potenzialmente dannose.

Spam

Spam

Codice che invia messaggi non richiesti ai contatti dell'utente o utilizza il dispositivo per l'inoltro di spam via email.


Rooting

Spyware

Codice che trasmette dati personali dal dispositivo senza preavviso o consenso.

Ad esempio, la trasmissione di una qualsiasi delle seguenti informazioni senza informative o in un modo inaspettato per l'utente è sufficiente per essere considerata spyware:

  • Elenco contatti
  • Foto o altri file presenti sulla scheda SD o che non sono di proprietà dell'app
  • Contenuti dell'email dell'utente
  • Registro chiamate
  • Log SMS
  • Cronologia web o preferiti del browser predefinito
  • Informazioni provenienti dalle directory /data/ di altre app.

Possono essere contrassegnati come spyware anche comportamenti che possono essere considerati come spionaggio a danno dell'utente. Ad esempio, la registrazione di audio o di chiamate effettuate al telefono oppure il furto di dati dell'app.

Trojan

Trojan

Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente tale, ma che esegue azioni indesiderate nei confronti dell'utente.

Questa classificazione viene generalmente utilizzata in combinazione con altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia messaggi SMS premium dal dispositivo dell'utente in background e senza che l'utente ne sia a conoscenza.

Non comune

Non comune

Le app nuove e rare possono essere classificate come non comuni se Google Play Protect non dispone di informazioni sufficienti per renderle sicure. Ciò non significa che l'app sia necessariamente dannosa, ma senza un'ulteriore revisione non può neanche essere cancellata come sicura.

maschera

Mascherine

Un'applicazione che utilizza una varietà di tecniche di evasione per fornire all'utente funzionalità di applicazione diverse o finte. Queste app si mascherano come applicazioni o giochi legittimi per apparire innocui agli store e utilizzano tecniche come l'offuscamento, il caricamento di codice dinamico o il cloaking per rivelare contenuti dannosi.

La maschera è simile ad altre categorie di app potenzialmente dannose, in particolare i trojan, con la differenza principale nelle tecniche utilizzate per offuscare l'attività dannosa.

Software mobile indesiderato (MUwS)

Per software indesiderato (UwS) Google si intende le app che non sono strettamente malware, ma che sono dannose per l'ecosistema software. Il software indesiderato per dispositivi mobili (MUwS) si spaccia per altre app o raccoglie almeno uno dei seguenti elementi senza il consenso dell'utente:

  • Numero di telefono del dispositivo
  • Indirizzo email principale
  • Informazioni sulle app installate
  • Informazioni sugli account di terze parti

MUwS viene monitorato separatamente dal malware. Puoi visualizzare le categorie di MUwS qui.

Avvisi di Google Play Protect

Quando Google Play Protect rileva una violazione del criterio relativo al malware, all'utente viene mostrato un avviso. Le stringhe di avviso per ogni violazione sono disponibili qui.