Malware

Nossa política contra malware é simples: o ecossistema Android, inclusive a Google Play Store, e os dispositivos do usuário não podem apresentar comportamentos maliciosos (por exemplo, malware). Com base nesse princípio fundamental, buscamos fornecer um ecossistema Android seguro para os usuários e os dispositivos Android deles.

Malware é qualquer código capaz de colocar um usuário, os dados dele ou um dispositivo em risco. O malware inclui aplicativos potencialmente nocivos (PHAs), binários ou modificações do framework que consistem em apps de cavalo de troia, phishing e spyware, entre outros. Além disso, estamos continuamente atualizando e adicionando novas categorias.

Com diferentes tipos e recursos, o malware geralmente tem um dos seguintes objetivos:

  • Comprometer a integridade do dispositivo do usuário
  • Controlar o dispositivo de um usuário
  • Ativar operações controladas remotamente para que um invasor acesse, use ou explore um dispositivo infectado.
  • Transmitir dados pessoais ou credenciais do dispositivo sem a divulgação e o consentimento adequados.
  • Enviar spam ou comandos do dispositivo infectado para afetar outros dispositivos ou redes.
  • Enganar o usuário

Uma modificação de app, binário ou framework pode ser potencialmente perigosa e, portanto, pode gerar um comportamento malicioso, mesmo que essa não tenha sido pretendida. Isso ocorre porque apps, binários ou modificações do framework podem funcionar de maneira diferente, dependendo de diversas variáveis. Portanto, o que é prejudicial a um dispositivo Android pode não representar um risco a outro. Por exemplo, um dispositivo com a versão mais recente do Android não é afetado por apps nocivos que usam APIs descontinuadas para realizar comportamentos maliciosos, mas um dispositivo que ainda está executando uma versão muito antiga do Android pode estar em risco. Apps, binários ou modificações do framework serão sinalizados como malware ou PHA se forem claramente expostos a riscos para alguns ou todos os dispositivos e usuários Android.

As categorias de malware abaixo refletem nossa crença fundamental de que os usuários devem entender como os dispositivos deles estão sendo usados e promover um ecossistema seguro que permite uma inovação robusta e uma experiência de usuário confiável.

Categorias de malware

Backdoor

Backdoors

É um código que permite a execução de operações indesejadas, potencialmente nocivas e controladas remotamente em um dispositivo.

Essas operações podem incluir um comportamento que colocaria o app, binário ou a modificação do framework em uma das outras categorias de malware se executada automaticamente. Em geral, "backdoor" é uma descrição de como uma operação potencialmente nociva pode ocorrer em um dispositivo. Por isso, ela não está totalmente alinhada a categorias como fraude de faturamento ou spyware comercial. Como resultado, um subconjunto de backdoors, em algumas circunstâncias, é tratado pelo Google Play Protect como uma vulnerabilidade.

Fraude de faturamento

Fraude de faturamento

É um código que cobra o usuário automaticamente de maneira enganosa.

As fraudes de faturamento de dispositivos móveis estão divididas entre SMS, chamada e cobrança.

fraude de SMS

É um código que emite cobranças pelo envio de SMS premium sem consentimento ou que tenta disfarçar as atividades de SMS ao ocultar acordos de divulgação ou mensagens SMS da operadora de celular com notificações sobre cobranças ou confirmação de assinaturas.

Alguns códigos, mesmo que tecnicamente divulguem o comportamento de envio de SMS, apresentam um comportamento adicional que acomoda fraude de SMS. Por exemplo, ocultar partes de um acordo de divulgação do usuário para torná-las ilegíveis e suprimir condicionalmente mensagens SMS da operadora de dispositivos móveis informando o usuário sobre cobranças ou confirmando uma assinatura.

Fraude de chamada

É um código que emite cobranças ao fazer chamadas para números premium sem o consentimento do usuário.

Fraude de pedágio

É um código que engana o usuário para que ele assine ou compre conteúdo pela conta do smartphone.

A fraude de cobrança inclui qualquer tipo de faturamento, exceto SMS e chamadas premium. Exemplos disso incluem Faturamento direto via operadora, ponto de acesso sem fio (WAP, na sigla em inglês) e transferência de tempo de transmissão móvel. A fraude de WAP é um dos tipos mais comuns de fraude de pedágio. A fraude de WAP pode incluir fazer com que os usuários cliquem em um botão em uma WebView transparente e carregada de forma silenciosa. Ao realizar a ação, uma assinatura recorrente é iniciada, e o e-mail ou SMS de confirmação geralmente é invadido para evitar que os usuários percebam a transação financeira.

Utensílios para perseguição

Utensílios para perseguição

É um código que coleta dados pessoais ou sensíveis do usuário de um dispositivo e os transmite a terceiros (outra empresa ou indivíduo) para monitoramento.

Os apps precisam incluir uma declaração em destaque adequada e receber o consentimento conforme exigido pela política de dados do usuário.

Os únicos apps de monitoramento aceitáveis são os projetados ou comercializados exclusivamente para monitorar outro indivíduo, por exemplo, o monitoramento dos filhos pela família ou de funcionários individuais pela administração de uma empresa, desde que atendam totalmente aos requisitos descritos posteriormente neste documento. Eles não podem ser usados para monitorar outras pessoas (um cônjuge, por exemplo), mesmo com conhecimento ou permissão delas e ainda que os apps exibam uma notificação contínua. Esses apps precisam usar a flag de metadados IsMonitoringTool no arquivo de manifesto para se designarem adequadamente como apps de monitoramento.

Os apps de monitoramento precisam obedecer a estes requisitos:

  • Eles não podem se apresentar aos usuários como soluções de vigilância secreta ou de espionagem.
  • Os apps não podem ocultar ou ocultar comportamento de rastreamento nem tentar enganar os usuários sobre essa funcionalidade.
  • Os apps precisam apresentar aos usuários uma notificação contínua sempre que estiverem em execução, além de um ícone exclusivo que o identifique claramente.
  • Os apps precisam divulgar a funcionalidade de monitoramento ou rastreamento na descrição da Google Play Store.
  • Os apps e as páginas "Detalhes do app" no Google Play não podem oferecer meios de ativar ou acessar funcionalidades que violem esses termos, como links a um APK não compatível hospedado fora do Google Play.
  • Os apps precisam obedecer às leis aplicáveis. Você é o único responsável por determinar a legalidade do seu app na localidade de destino.

Para mais informações, consulte o artigo da Central de Ajuda sobre a flag isMonitoringTool.

Negação de serviço

Negação de serviço (DoS)

Código que, sem o conhecimento do usuário, executa um ataque de negação de serviço (DoS) ou faz parte de um ataque de DoS distribuído contra outros sistemas e recursos.

Por exemplo, isso pode acontecer ao enviar um alto volume de solicitações HTTP para produzir carga excessiva em servidores remotos.

Ferramentas de download hostis

Ferramentas de download hostis

Código que não é potencialmente nocivo por si só, mas faz o download de outros PHAs.

O código pode ser um gerenciador de downloads hostil se:

  • houver motivos para acreditar que ele foi criado para espalhar PHAs e que fez o download de PHAs ou contém código capaz de fazer o download e a instalação de apps; ou
  • Pelo menos 5% dos apps transferidos por download são PHAs com um limite mínimo de 500 downloads de apps observados (25 downloads de PHA observados).

Os principais navegadores e apps de compartilhamento de arquivos não serão considerados componentes de download hostis quando:

  • não façam downloads sem a interação do usuário; e
  • Todos os downloads de PHA são iniciados por usuários que deram consentimento.
Ameaça que não envolve o Android

Ameaça que não envolve o Android

Código com ameaças que não são do Android.

Esses apps não podem causar danos ao usuário ou dispositivo Android, mas contêm componentes potencialmente nocivos a outras plataformas.

Phishing

Phishing

É um código que finge ser de uma fonte confiável, solicita as credenciais de autenticação do usuário ou as informações de faturamento e envia os dados a terceiros. Essa categoria também se aplica a códigos que interceptam a transmissão de credenciais do usuário em trânsito.

Os alvos comuns de phishing incluem credenciais bancárias, números de cartão de crédito e credenciais de contas on-line para redes sociais e jogos.

Escalonamento de privilégios

Abuso de privilégios elevados

É um código que compromete a integridade do sistema ao romper o sandbox do app, ter privilégios elevados ou alterar ou desativar o acesso às principais funções relacionadas à segurança.

Por exemplo:

  • Um app que viola o modelo de permissões do Android ou rouba credenciais (como tokens OAuth) de outros apps.
  • Apps que abusam de recursos para impedir que sejam desinstalados ou interrompidos
  • Um app que desativa o SELinux

Apps com escalonamento de privilégios que dão acesso root a dispositivos sem a permissão do usuário são classificados como apps de acesso root.

Ransomware

Ransomware

É um código que assume o controle parcial ou extensivo de um dispositivo ou dos dados de um dispositivo e exige que o usuário faça um pagamento ou realize uma ação para liberar o controle.

Alguns ransomwares criptografam dados no dispositivo e exigem pagamento para descriptografar os dados e/ou aproveitar os recursos de administração do dispositivo para que eles não possam ser removidos por um usuário típico. Por exemplo:

  • Bloquear um usuário do próprio dispositivo e exigir dinheiro para restaurar o controle do usuário.
  • Criptografar dados no dispositivo e exigir o pagamento para descriptografar os dados.
  • Aproveitar os recursos do Gerenciador de políticas de dispositivos e bloquear a remoção pelo usuário.

O código distribuído com o dispositivo que tem como objetivo principal o gerenciamento subsidiado de dispositivos pode ser excluído da categoria de ransomware, desde que atenda aos requisitos de bloqueio e gerenciamento seguros e aos requisitos adequados de divulgação e consentimento do usuário.

Acesso root

Acesso root

É um código que faz acesso root ao dispositivo.

Existe uma diferença entre código de acesso root malicioso e não malicioso. Por exemplo, apps de acesso root permitem que o usuário saiba com antecedência que ele vai fazer o root do dispositivo e não executar outras ações potencialmente prejudiciais que se aplicam a outras categorias de PHA.

Apps de acesso root maliciosos não informam o usuário sobre a raiz do dispositivo, nem informam antecipadamente, mas também executam outras ações que se aplicam a outras categorias de PHA.

Spam

Spam

É um código que envia mensagens não solicitadas aos contatos do usuário ou usa o dispositivo para redirecionamento de spam de e-mail.


Acesso root

Spyware

Spyware é um aplicativo, código ou comportamento malicioso que coleta, exfiltra ou compartilha dados do usuário ou do dispositivo que não estão relacionados a funcionalidades em conformidade com as políticas.

Códigos ou comportamentos maliciosos que podem ser considerados espionagem ou vazam dados sem o devido consentimento ou aviso também são considerados spyware.

Exemplos de violações de spyware incluem, mas não se limitam a:

  • Gravar áudio ou gravar chamadas feitas para o smartphone
  • Roubo de dados de apps
  • Um app com código malicioso de terceiros (por exemplo, um SDK) que transmite dados para fora do dispositivo de maneira inesperada e/ou sem o consentimento ou aviso adequado do usuário.
Cavalo de troia

Cavalo de troia

Código que parece benigno, como um jogo que alega ser apenas um jogo, mas realiza ações indesejáveis contra o usuário.

Essa classificação geralmente é usada em combinação com outras categorias de PHA. Um cavalo de Troia tem um componente inofensivo e um componente nocivo oculto. Por exemplo, um jogo que envia mensagens SMS premium do dispositivo em segundo plano e sem o conhecimento do usuário.

Incomum

Observação sobre apps incomuns

Apps novos e raros podem ser classificados como incomuns se o Google Play Protect não tiver informações suficientes para considerá-los seguros. Isso não significa que o app é necessariamente prejudicial, mas, sem uma análise mais aprofundada, ele também não pode ser considerado seguro.

máscaras

Máscaras

Um aplicativo que utiliza várias técnicas de evasão para oferecer ao usuário uma funcionalidade de aplicativo falsa ou diferente. Esses apps se mascaram como apps ou jogos legítimos para parecerem inofensivos para as app stores e usam técnicas como ofuscação, carregamento dinâmico de código ou técnicas de cloaking para revelar conteúdo malicioso.

O Maskware é semelhante a outras categorias de PHA, especificamente o cavalo de Troia, com a principal diferença sendo as técnicas usadas para ofuscar a atividade maliciosa.

Software indesejado para dispositivos móveis (MUwS, na sigla em inglês)

O Google define software indesejado (UwS, na sigla em inglês) como apps que não são estritamente malware, mas são prejudiciais ao ecossistema de software. O software indesejado para dispositivos móveis (MUwS, na sigla em inglês) falsifica a identidade de outros apps ou coleta pelo menos um dos seguintes itens sem o consentimento do usuário:

  • Número de telefone do dispositivo
  • endereço de e-mail principal;
  • Informações sobre os apps instalados
  • Informações sobre contas de terceiros

O MUwS é rastreado separadamente do malware. Confira as categorias de MUwS aqui.

Avisos do Google Play Protect

Quando o Google Play Protect detecta uma violação da política contra malware, um aviso é mostrado para o usuário. As strings de aviso para cada violação estão disponíveis neste link.