Notre règlement sur les logiciels malveillants est simple : l'écosystème Android, y compris le Google Play Store, et les appareils des utilisateurs doivent être exempts de comportements malveillants (par exemple, des logiciels malveillants). Par ce principe fondamental, nous nous efforçons d'offrir un écosystème Android sûr à nos utilisateurs et à leurs appareils Android.
Un logiciel malveillant est un code susceptible de faire courir un risque à l'utilisateur, à ses données ou à son appareil. Les logiciels malveillants incluent, sans s'y limiter, les applications potentiellement dangereuses, les binaires ou les modifications de framework, qui se classent en différentes catégories telles que les chevaux de Troie, l'hameçonnage et les logiciels espions. Nous mettons régulièrement à jour ces catégories et en ajoutons de nouvelles.
Même s'ils ne sont pas tous du même type et ont des fonctionnalités différentes, les logiciels malveillants ont généralement l'un des objectifs suivants:
- Compromettre l'intégrité de l'appareil de l'utilisateur
- prendre le contrôle de l'appareil d'un utilisateur ;
- permettre à un pirate informatique d'accéder à un appareil infecté, de l'utiliser ou de l'exploiter de toute autre manière.
- Transmettre des données à caractère personnel ou des identifiants depuis l'appareil sans en informer correctement l'utilisateur ni obtenir son autorisation
- Diffusez du spam ou des commandes depuis l'appareil infecté pour affecter d'autres appareils ou réseaux.
- Escroquer l'utilisateur
Une modification d'application, de fichier binaire ou de framework peut être potentiellement dangereuse et donc générer un comportement malveillant, même s'il n'était pas destiné à être préjudiciable. En effet, les modifications d'applications, de binaires ou de framework peuvent fonctionner différemment en fonction de diverses variables. Par conséquent, ce qui est dangereux pour un appareil Android peut ne présenter aucun risque pour un autre appareil Android. Par exemple, un appareil exécutant la dernière version d'Android n'est pas affecté par les applications dangereuses qui utilisent des API obsolètes pour effectuer un comportement malveillant, mais un appareil qui exécute encore une version très ancienne d'Android peut être à risque. Les applications, les binaires ou les modifications de framework sont signalées comme contenant des logiciels malveillants ou des PHA si elles présentent clairement un risque pour tous les appareils et utilisateurs Android, ou certains d'entre eux.
Les catégories de logiciels malveillants ci-dessous reflètent notre conviction fondamentale que les utilisateurs doivent comprendre comment leur appareil est exploité et promouvoir un écosystème sécurisé qui favorise une innovation robuste et une expérience utilisateur fiable.
Catégories de logiciels malveillants
Portes dérobées
Code qui permet d'exécuter des opérations indésirables contrôlées à distance et potentiellement dangereuses sur un appareil.
Ces opérations peuvent inclure un comportement qui, s'il était exécuté automatiquement, placerait la modification d'application, de fichier binaire ou de framework dans l'une des autres catégories de logiciels malveillants. En général, une porte dérobée décrit la manière dont une opération potentiellement dangereuse peut se produire sur un appareil. Elle n'est donc pas entièrement alignée avec des catégories telles que la fraude à la facturation ou les logiciels espions commerciaux. Par conséquent, un sous-ensemble de backdoors est, dans certaines circonstances, traité par Google Play Protect comme une faille.
Fraude à la facturation
Code qui facture automatiquement l'utilisateur de manière délibérément trompeuse.
La fraude à la facturation sur mobile se divise en trois catégories : fraude aux SMS, fraude aux appels et fraude à la facturation par l'opérateur.
Fraude au SMS
Code qui facture les utilisateurs pour l'envoi de SMS premium sans autorisation, ou qui tente de dissimuler ses activités par SMS en masquant les accords de divulgation ou les SMS de notification de frais ou de confirmation d'abonnement de l'opérateur mobile.
Certains codes, même s'ils divulguent techniquement le comportement d'envoi de SMS, introduisent des comportements supplémentaires qui facilitent la fraude aux SMS. Il peut s'agir, par exemple, de masquer des parties d'un accord de divulgation pour l'utilisateur ou de les rendre illisibles, ou de supprimer de manière conditionnelle les SMS de l'opérateur mobile pour informer l'utilisateur des frais ou confirmer un abonnement.
Fraude à l'appel
Code qui facture les utilisateurs en passant des appels vers des numéros surtaxés sans leur autorisation.
Fraude à la facturation
Code qui trompe les utilisateurs afin qu'ils achètent du contenu ou s'y abonnent en étant facturés par leur opérateur mobile.
La fraude aux contenus payants inclut tous les types de facturation autres que les SMS et appels surtaxés. Exemples : facturation directe par l'opérateur, point d'accès sans fil (WAP) et transfert de temps de transmission mobile. La fraude WAP est l'un des types de fraude à la facturation par l'opérateur le plus répandu. La fraude WAP peut consister à inciter les utilisateurs à cliquer sur un bouton dans une WebView transparente et chargée de manière silencieuse. Une fois cette action effectuée, un abonnement récurrent est lancé, et le SMS ou l'e-mail de confirmation sont souvent piratés pour empêcher les utilisateurs de remarquer la transaction financière.
Logiciel de traque
Code qui collecte des données utilisateur sensibles ou à caractère personnel à partir d'un appareil et les transmet à un tiers (entreprise ou personne physique) à des fins de surveillance.
Les applications doivent afficher un communiqué visible approprié et obtenir le consentement exigé par la Règle sur les données utilisateur.
Seules sont acceptées les applications exclusivement conçues et commercialisées pour la surveillance d'autrui (par exemple, les parents pour surveiller leurs enfants ou la gestion d'entreprise) pour la surveillance d'employés individuels, à condition qu'elles respectent entièrement les exigences décrites plus loin dans ce document. Ces applications ne peuvent pas servir à suivre une autre personne (un conjoint, par exemple) même si celle-ci en est consciente et avec son autorisation, indépendamment de l'affichage ou non d'une notification permanente. Ces applications doivent utiliser l'indicateur de métadonnées IsMonitoringTool dans leur fichier manifeste pour se désigner de manière appropriée comme applications de surveillance.
Les applications de surveillance doivent respecter les exigences suivantes:
- Elles ne doivent pas être présentées comme des solutions d'espionnage ou de surveillance secrète.
- Les applications ne doivent pas masquer ou dissimuler le comportement de suivi, ni tenter de tromper les utilisateurs à propos de cette fonctionnalité.
- Les applications doivent présenter aux utilisateurs une notification permanente lorsqu'elles sont en cours d'exécution et une icône unique qui les identifie clairement.
- Les applications doivent indiquer leur fonctionnalité de surveillance ou de suivi dans leur description sur le Google Play Store.
- Les applications (et leurs fiches sur Google Play) ne doivent proposer aucun moyen d'activer des fonctionnalités qui ne respectent pas les présentes conditions ni d'y accéder (par exemple, des liens vers un APK non conforme hébergé en dehors de Google Play).
- Les applications doivent respecter toutes les lois applicables. Vous êtes seul responsable de déterminer la légalité de votre application dans sa langue cible.
Pour en savoir plus, consultez l'article du centre d'aide sur l'utilisation de l'indicateur isMonitoringTool.
Déni de service (DoS)
Code qui, à l'insu de l'utilisateur, exécute une attaque par déni de service (DoS) ou fait partie d'une attaque DoS distribuée visant d'autres systèmes et ressources.
Cela peut se produire, par exemple, en envoyant un grand nombre de requêtes HTTP afin de produire une charge excessive sur les serveurs distants.
Programmes de téléchargement dangereux
Code qui n'est pas potentiellement dangereux en soi, mais qui télécharge d'autres PHA.
Le code peut être un programme de téléchargement hostile dans les cas suivants:
- Il existe des raisons de penser qu'elle a été créée pour propager des PHA, qu'elle en a téléchargé ou qu'elle contient du code permettant de télécharger et d'installer des applications.
- Au moins 5% des applications qu'il télécharge sont des PHA, avec un seuil minimal de 500 téléchargements d'applications observés (25 téléchargements de PHA observés).
Les principaux navigateurs et applications de partage de fichiers ne sont pas considérés comme des programmes de téléchargement hostiles si:
- Elles ne génèrent pas de téléchargements sans l'intervention de l'utilisateur.
- Tous les téléchargements de PHA sont déclenchés par les utilisateurs ayant donné leur consentement.
Menace non-Android
Code contenant des menaces non-Android.
Ces applications ne peuvent pas nuire à l'utilisateur ni à l'appareil Android, mais elles contiennent des composants potentiellement dangereux pour d'autres plates-formes.
Hameçonnage
Code qui prétend provenir d'une source fiable, demande les identifiants d'authentification ou les informations de facturation d'un utilisateur et envoie les données à un tiers. Cette catégorie s'applique également au code qui intercepte la transmission des identifiants utilisateur en transit.
L'hameçonnage cible généralement les identifiants bancaires, les numéros de carte de crédit et les identifiants de compte en ligne pour les réseaux sociaux et les jeux.
Utilisation abusive des droits élevés
Code qui compromet l'intégrité du système en contournant le bac à sable de l'application, en obtenant des droits élevés, ou en modifiant ou désactivant l'accès aux principales fonctions de sécurité
Exemples :
- Application qui ne respecte pas le modèle d'autorisations Android ou qui vole des identifiants (tels que des jetons OAuth) à partir d'autres applications
- Applications qui utilisent des fonctionnalités de manière abusive pour empêcher leur désinstallation ou leur arrêt
- Application qui désactive SELinux
Les applications d'élévation des privilèges qui passent les appareils en mode root sans l'autorisation de l'utilisateur sont classées comme des applications d'activation du mode root.
Rançongiciel
Code qui prend le contrôle partiel ou étendu d'un appareil ou de ses données, et qui exige que l'utilisateur effectue un paiement ou une action pour libérer le contrôle.
Certains rançongiciels chiffrent les données sur l'appareil et exigent un paiement pour les déchiffrer et/ou exploitent les fonctionnalités d'administration de l'appareil afin qu'elles ne puissent pas être supprimées par un utilisateur standard. Exemples :
- Verrouiller l'accès d'un utilisateur à son appareil et exiger de l'argent pour lui redonner le contrôle
- Chiffrer des données sur l'appareil et exiger un paiement pour les déchiffrer ostensiblement
- Exploiter les fonctionnalités du gestionnaire de règles de l'appareil et bloquer la suppression par l'utilisateur.
Le code distribué avec l'appareil dont l'objectif principal est la gestion subventionnée peut être exclu de la catégorie des rançongiciels, à condition qu'ils répondent aux exigences de verrouillage et de gestion sécurisés, et qu'ils respectent les exigences adéquates en matière de divulgation et de consentement de l'utilisateur.
Activation du mode root
Code qui permet d'activer le mode root de l'appareil.
Il existe une différence entre les codes d'activation du mode root non malveillants et malveillants. Par exemple, les applications d'activation du mode root informent l'utilisateur à l'avance qu'elles vont activer le mode root de l'appareil et qu'elles n'exécutent pas d'autres actions potentiellement dangereuses qui s'appliquent à d'autres catégories de PHA.
Les applications d'activation du mode root malveillantes n'informent pas l'utilisateur lorsqu'elles vont activer le mode root ou bien elles l'informent à l'avance, mais elles exécutent également d'autres actions qui s'appliquent à d'autres catégories de PHA.
Spam
Code qui envoie des messages non sollicités aux contacts de l'utilisateur ou qui utilise l'appareil comme relais de spam.
Logiciel espion
Un logiciel espion est une application, un code ou un comportement malveillant qui collecte, exfiltre ou partage des données utilisateur ou d'appareil sans rapport avec une fonctionnalité conforme aux règles.
Le code ou les comportements malveillants pouvant être considérés comme d'espionner l'utilisateur ou qui exfiltrent des données sans en informer correctement l'utilisateur ni obtenir son autorisation sont également considérés comme des logiciels espions.
Voici quelques exemples de non-respect des règles relatives aux logiciels espions:
- Enregistrement du son ou des appels passés sur le téléphone
- Vol de données d'application
- Application contenant du code tiers malveillant (par exemple, un SDK) qui transmet des données en dehors de l'appareil d'une manière inattendue pour l'utilisateur et/ou sans en informer correctement l'utilisateur ni obtenir son consentement.
Cheval de Troie
Code qui semble inoffensif, comme un jeu qui n'est censé être qu'un jeu, mais qui exécute des actions indésirables à l'encontre de l'utilisateur.
Cette classification est généralement combinée à d'autres catégories de PHA. Un cheval de Troie comporte un composant inoffensif et un composant dangereux caché. Par exemple, il peut s'agir d'un jeu qui envoie des SMS premium en arrière-plan depuis l'appareil de l'utilisateur, à son insu.
Remarque concernant les applications inhabituelles
Les applications rares et nouvelles peuvent être classées comme rares si Google Play Protect ne dispose pas de suffisamment d'informations pour confirmer qu'elles sont sûres. Cela ne signifie pas que l'application est nécessairement dangereuse, mais sans un examen plus approfondi, elle ne peut pas non plus être considérée comme sûre.
Masques
Application qui emploie diverses techniques de contournement afin de proposer à l'utilisateur des fonctionnalités d'application différentes ou fictives. Ces applications se déguisent en applications ou jeux légitimes pour paraître inoffensifs pour les plates-formes de téléchargement d'applications et utilisent des techniques telles que l'obscurcissement, le chargement dynamique de code ou les techniques de dissimulation (cloaking) pour révéler du contenu malveillant.
Les masques sont semblables aux autres catégories de PHA, en particulier les chevaux de Troie, la principale différence étant les techniques utilisées pour obscurcir l'activité malveillante.
Logiciels mobiles indésirables
Google définit les logiciels indésirables comme des applications qui ne sont pas strictement des logiciels malveillants, mais qui nuisent à l'écosystème logiciel. Un logiciel indésirable sur mobile (MUwS) usurpe l'identité d'autres applications ou collecte au moins l'un des éléments suivants sans le consentement de l'utilisateur:
- Numéro de téléphone de l'appareil
- Votre adresse e-mail principale
- Informations sur les applications installées
- Informations sur les comptes tiers
Les MUwS font l'objet d'un suivi distinct des logiciels malveillants. Pour consulter les catégories de logiciels malveillants, cliquez ici.
Avertissements Google Play Protect
Lorsque Google Play Protect détecte un cas de non-respect des règles sur les logiciels malveillants, un avertissement s'affiche à l'intention de l'utilisateur. Les chaînes d'avertissement pour chaque cas de non-conformité sont disponibles sur cette page.