Categorias de malware

Nossa política contra malware é simples: o ecossistema Android, inclusive a Google Play Store, e os dispositivos do usuário não podem apresentar comportamentos maliciosos (por exemplo, malware). Com base nesse princípio fundamental, buscamos fornecer um ecossistema Android seguro para os usuários e os dispositivos Android deles.

Malware é qualquer código que coloque um usuário, os dados dele ou um dispositivo em risco. O malware inclui aplicativos potencialmente nocivos (PHAs), binários ou modificações do framework que consistem em categorias como apps de troia, phishing e spyware. Também estamos sempre atualizando e adicionando novas categorias.

Embora sejam variados em termos de tipo e recursos, o malware geralmente tem um dos seguintes objetivos:

  • Comprometa a integridade do dispositivo do usuário.
  • Controle o dispositivo de um usuário.
  • Ative as operações controladas remotamente para que um invasor acesse, use ou explore um dispositivo infectado.
  • Transmitir dados pessoais ou credenciais do dispositivo sem a divulgação e o consentimento adequados
  • Enviar spam ou comandos do dispositivo infectado para afetar outros dispositivos ou redes.
  • Fraude do usuário.

Um app, binário ou uma modificação do framework podem ser potencialmente nocivos e gerar um comportamento malicioso, mesmo que essa não tenha a intenção de ser prejudicial. Isso ocorre porque apps, binários ou modificações no framework podem funcionar de maneira diferente, dependendo de diversas variáveis. Portanto, o que é prejudicial para um dispositivo Android pode não representar um risco para outro. Por exemplo, um dispositivo com a versão mais recente do Android não é afetado por apps nocivos que usam APIs descontinuadas para realizar um comportamento malicioso, mas um dispositivo que ainda está executando uma versão muito antiga do Android pode estar em risco. Os apps, binários ou modificações do framework serão sinalizados como malware ou PHA se claramente colocarem em risco vários ou todos os dispositivos e usuários do Android.

As categorias de malware abaixo refletem nossa crença básica de que os usuários precisam entender como o dispositivo está sendo usado e promover um ecossistema seguro que permita uma inovação robusta e uma experiência do usuário confiável.

Categorias de malware

Porta dos fundos

Porta dos fundos

Código que permite a execução de operações indesejadas, potencialmente nocivas e controladas remotamente em um dispositivo.

Essas operações podem incluir comportamentos que colocam o app, o binário ou a modificação do framework em uma das outras categorias de malware se forem executados automaticamente. Em geral, backdoor é uma descrição de como uma operação potencialmente nociva pode ocorrer em um dispositivo. Portanto, não está completamente alinhada com categorias como fraude de faturamento ou spyware comercial. Como resultado, um subconjunto de backdoors, em algumas circunstâncias, é tratado pelo Google Play Protect como uma vulnerabilidade.

Fraude em faturamento

Fraude em faturamento

É um código que cobra automaticamente o usuário de maneira enganosa.

As fraudes de faturamento para dispositivos móveis são divididas em fraude de SMS, de chamada e de pedágio.

Fraude de SMS

É um código que emite cobranças pelo envio de SMS premium sem consentimento do usuário ou que tenta fingir as atividades de SMS ao ocultar acordos de divulgação ou mensagens SMS da operadora de celular que notifica o usuário sobre cobranças ou confirma assinaturas.

Alguns códigos, apesar de tecnicamente revelarem o comportamento de envio de SMS, também introduzem um comportamento adicional que inclui fraude de SMS. Os exemplos incluem ocultar partes de um contrato de divulgação do usuário, tornando-o ilegível e suprimindo condicionalmente mensagens SMS da operadora de celular para informar o usuário sobre cobranças ou confirmar uma assinatura.

Fraude de chamada

É um código que emite cobranças ao fazer chamadas para números premium sem o consentimento do usuário.

Fraude de cobrança

É um código que engana o usuário para que ele assine ou compre conteúdo usando a conta de celular.

A fraude por tarifa inclui qualquer tipo de faturamento, exceto SMS e chamadas premium. Exemplos: faturamento direto via operadora, protocolo de aplicativos sem fio (WAP, na sigla em inglês) e transferência de tempo de transmissão para dispositivos móveis. A fraude por WAP é um dos tipos mais comuns de fraude de pedágio. A fraude por WAP pode levar os usuários a clicar em um botão em um WebView transparente e carregado silenciosamente. Ao executar a ação, uma assinatura recorrente é iniciada e o SMS ou e-mail de confirmação é invadido com frequência para evitar que os usuários percebam a transação financeira.

Stalkerware

Stalkerware: spyware comercial

É um código que coleta e/ou transmite dados pessoais ou confidenciais de um usuário de um dispositivo sem atenção ou aviso adequados e não exibe uma notificação contínua de que isso está acontecendo.

Os apps da stalkerware segmentam usuários de dispositivos ao monitorar dados pessoais ou confidenciais e transmitir ou tornar esses dados acessíveis a terceiros.

Os únicos apps de vigilância aceitáveis são os projetados ou comercializados exclusivamente para que as famílias monitorem os filhos ou o gerenciamento corporativo, desde que atendam totalmente aos requisitos descritos abaixo. Esses apps não podem ser usados para monitorar outras pessoas (um cônjuge, por exemplo), mesmo com conhecimento ou permissão delas, independentemente da notificação contínua ser exibida.

Negação de serviço

Negação de serviço (DoS)

É um código que, sem o conhecimento do usuário, executa um ataque de negação de serviço (DoS) ou faz parte de um ataque de DoS distribuído para outros sistemas e recursos.

Por exemplo, isso pode acontecer ao enviar um volume alto de solicitações HTTP para produzir carga excessiva em servidores remotos.

Gerenciadores de downloads hostis

Gerenciadores de downloads hostis

É um código que não é potencialmente nocivo por si só, mas que faz o download de outros PHAs.

O código pode ser um componente de download hostil se:

  • Há um motivo para acreditar que ele foi criado para espalhar PHAs e que fez o download de PHAs ou contém código que pode fazer o download de apps e instalá-los; ou
  • Pelo menos 5% dos apps transferidos por download são PHAs com um limite mínimo de 500 downloads de apps observados (25 downloads de PHAs observados).

Os principais navegadores e apps de compartilhamento de arquivos não são considerados componentes de downloads hostis desde que:

  • não façam downloads sem interagir com o usuário; e
  • Todos os downloads de PHA são iniciados por usuários que deram consentimento.
Ameaça não relacionada ao Android

Ameaça não relacionada ao Android

Código que contém ameaças que não são do Android.

Esses apps não causam danos ao usuário ou dispositivo Android, mas podem conter componentes potencialmente nocivos a outras plataformas.

Phishing

Phishing

Código que finge ser de uma fonte confiável, solicita credenciais de autenticação ou informações de faturamento de um usuário e envia os dados a um terceiro. Esta categoria também se aplica ao código que intercepta a transmissão de credenciais do usuário em trânsito.

Os destinos comuns de phishing incluem credenciais bancárias, números de cartão de crédito e credenciais de contas on-line para redes sociais e jogos.

Escalonamento de privilégios

Abuso de privilégios elevados

É um código que compromete a integridade do sistema ao romper o sandbox do app, receber privilégios elevados ou alterar ou desativar o acesso às principais funções relacionadas à segurança.

Por exemplo:

  • Um app que viola o modelo de permissões do Android ou que rouba credenciais (como tokens OAuth) de outros apps.
  • Apps que abusam de recursos para impedir que sejam desinstalados ou interrompidos
  • Um app que desativa o SELinux

Os apps com escalonamento de privilégios que raizm dispositivos sem permissão do usuário são classificados como apps com acesso root.

Ransomware

Ransomware

É um código que assume o controle parcial ou total de um dispositivo ou dados em um dispositivo e exige que o usuário faça um pagamento ou realize uma ação para liberar o controle.

Alguns ransomwares criptografam dados no dispositivo e exigem pagamento para descriptografar os dados e/ou usar os recursos de administração do dispositivo para que ele não possa ser removido por um usuário típico. Por exemplo:

  • Bloquear um usuário fora do dispositivo e exigir dinheiro para restaurar o controle dele.
  • Criptografar dados no dispositivo e exigir pagamento para descriptografar os dados
  • Aproveite os recursos do Gerenciador de políticas do dispositivo e bloqueie a remoção pelo usuário.

O código distribuído com o dispositivo que tenha como objetivo principal o gerenciamento de dispositivos subsidiados pode ser excluído da categoria de ransomware, desde que atenda aos requisitos de bloqueio e gerenciamento seguros e de acordo com os requisitos de consentimento e divulgação adequados do usuário.

Acesso root

Acesso root

É um código que define o acesso root ao dispositivo.

Há uma diferença entre códigos de root maliciosos e não maliciosos. Por exemplo, apps de acesso root permitem que o usuário saiba com antecedência que vai acessar o dispositivo raiz e não executar outras ações potencialmente prejudiciais que se apliquem a outras categorias de PHA.

Apps maliciosos com acesso root não informam o usuário que vão fazer root no dispositivo ou informam antecipadamente, mas também executam outras ações que se aplicam a outras categorias de PHA.

Spam

Spam

É um código que envia mensagens não solicitadas para os contatos do usuário ou usa o dispositivo como um redirecionamento de spam de e-mail.


Acesso root

Spyware

É um código que transmite dados pessoais do dispositivo sem o devido consentimento ou aviso.

Por exemplo, a transmissão de qualquer uma das informações a seguir sem divulgação ou de forma inesperada pelo usuário é suficiente para ser considerada spyware:

  • Lista de contatos
  • Fotos ou outros arquivos do cartão SD ou que não sejam de propriedade do app
  • Conteúdo do e-mail do usuário
  • Registro de chamadas
  • Registro de SMS
  • Histórico da Web ou favoritos do navegador padrão
  • Informações dos diretórios /data/ de outros apps.

Comportamentos que podem ser considerados espionagem também podem ser sinalizados como spyware. Por exemplo, gravação de áudio ou chamadas feitas para o smartphone ou roubo de dados do app.

Cavalo de troia

Cavalo de troia

Um código que parece ser benigno, como um jogo que alega ser apenas um jogo, mas que realiza ações indesejáveis contra o usuário.

Essa classificação geralmente é usada em combinação com outras categorias de PHA. Um cavalo de Troia tem um componente inofensivo e um componente nocivo oculto. Por exemplo, um jogo que envia mensagens SMS premium do dispositivo do usuário em segundo plano e sem o conhecimento dele.

Incomum

Incomum

Apps novos e raros podem ser classificados como incomuns se o Google Play Protect não tiver informações suficientes para garantir a segurança. Isso não significa que o app é necessariamente nocivo, mas sem análise posterior, ele também não pode ser limpo como seguro.

Software indesejado para dispositivos móveis (MUwS)

O Google define softwares indesejados (UwS, na sigla em inglês) como apps que não são estritamente malware, mas são prejudiciais ao ecossistema de software. O software indesejado para dispositivos móveis (MUwS, na sigla em inglês) falsifica a identidade de outros apps ou coleta pelo menos um dos seguintes elementos sem o consentimento do usuário:

  • Número de telefone do dispositivo
  • endereço de e-mail principal;
  • Informações sobre os apps instalados
  • Informações sobre contas de terceiros

O MUwS é rastreado separadamente do malware. Clique aqui para ver as categorias do MUwS.

Avisos do Google Play Protect

Quando o Google Play Protect detecta uma violação da política de malware, um aviso é exibido para o usuário. As strings de aviso de cada violação estão disponíveis aqui.