Malware

Le nostre norme relative al malware sono semplici: l'ecosistema Android, incluso il Google Play Store, e i dispositivi degli utenti dovrebbero essere privi di comportamenti dannosi, ad esempio i malware. Sulla base di questo principio fondamentale, ci impegniamo per offrire un ecosistema Android sicuro per i nostri utenti e i loro dispositivi.

Si definisce malware qualsiasi codice che potrebbe mettere a rischio un dispositivo, un utente o i suoi dati. Il termine malware include, a titolo esemplificativo, applicazioni potenzialmente dannose, programmi binari o modifiche di framework appartenenti a varie categorie, ad esempio app di spyware, phishing e trojan. L'elenco delle categorie viene aggiornato e aggiunto continuamente da nuove categorie.

Sebbene siano diversi per tipologia e capacità, i malware in genere hanno uno dei seguenti obiettivi:

  • Compromettere l'integrità del dispositivo dell'utente.
  • Assumi il controllo del dispositivo dell'utente.
  • Abilitare operazioni controllate a distanza per consentire a un utente malintenzionato di accedere, utilizzare o altrimenti sfruttare un dispositivo infetto.
  • Trasmettere dati personali o credenziali dal dispositivo senza comunicazione e consenso adeguati.
  • Diffondere spam o comandi dal dispositivo infetto per colpire altri dispositivi o reti.
  • Defraudare l'utente.

La modifica di un framework, un programma binario o un'app può essere potenzialmente dannosa e, quindi, può generare comportamenti dannosi, anche se non è destinata a essere dannosa. Questo perché app, programmi binari o modifiche di framework possono funzionare in modo diverso a seconda di una varietà di variabili. Pertanto, ciò che è dannoso per un dispositivo Android potrebbe non porre alcun rischio per un altro dispositivo Android. Ad esempio, un dispositivo con l'ultima versione di Android non è interessato da app dannose che utilizzano API deprecate per eseguire comportamenti dannosi, ma un dispositivo su cui è ancora in esecuzione una versione precedente di Android potrebbe essere a rischio. Le modifiche di app, file binari o framework vengono segnalate come malware o app potenzialmente dannose se rappresentano chiaramente un rischio per alcuni o tutti i dispositivi e gli utenti Android.

Le categorie di malware riportate di seguito riflettono la nostra convinzione fondamentale che gli utenti debbano capire come vengono sfruttati i loro dispositivi e promuovere un ecosistema sicuro che consenta una solida innovazione e un'esperienza utente affidabile.

Categorie di malware

Backdoor

Backdoor

Codice che consente l'esecuzione su un dispositivo di operazioni controllate a distanza, indesiderate e potenzialmente dannose.

Queste operazioni possono includere comportamenti che, se eseguite automaticamente, posizionerebbero le modifiche all'app, al programma binario o al framework in una delle altre categorie di malware. In generale, per backdoor si intende la descrizione di come un'operazione potenzialmente dannosa può verificarsi su un dispositivo, pertanto non si allinea completamente con categorie come frode di fatturazione o spyware commerciale. Di conseguenza, un sottoinsieme di backdoor, in alcune circostanze, viene trattato da Google Play Protect come una vulnerabilità.

Frode di fatturazione

Frode di fatturazione

Codice che effettua addebiti automatici all'utente in modo intenzionalmente ingannevole.

La frode relativa alla fatturazione su dispositivi mobili può essere: frode tramite SMS, frode telefonica e frode tariffaria.

Attività fraudolenta tramite SMS

Codice che addebita agli utenti un costo per l'invio di SMS premium senza consenso o cerca di camuffare le sue attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano l'utente degli addebiti o che confermano gli abbonamenti.

Alcuni codici, anche se tecnicamente comunicano il comportamento di invio degli SMS, introducono un comportamento aggiuntivo che consente frodi via SMS. Ad esempio, puoi nascondere all'utente parti di un contratto di divulgazione, renderle illeggibili ed eliminare in modo condizionale gli SMS dell'operatore di telefonia mobile che informano l'utente degli addebiti o confermi un abbonamento.

Chiamata fraudolenta

Codice che effettua addebiti agli utenti chiamando numeri a pagamento senza il consenso dell'utente.

Frode tariffaria

Codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.

La frode tariffaria include qualsiasi tipo di fatturazione, ad eccezione di SMS e chiamate a pagamento. Alcuni esempi sono la fatturazione diretta con l'operatore, il punto di accesso wireless (WAP) e il trasferimento del tempo di volo sui dispositivi mobili. La frode WAP è uno dei tipi più diffusi di frode tariffaria. Un'attività fraudolenta può includere indurre con l'inganno gli utenti a fare clic su un pulsante su un componente WebView trasparente caricato in modo invisibile. Dopo l'esecuzione dell'azione, viene avviato un abbonamento ricorrente e l'email o l'SMS di conferma vengono spesso compromessi per evitare che gli utenti si accorgano della transazione finanziaria.

Stalkerware

Stalkerware

Codice che raccoglie dati utente personali o sensibili da un dispositivo e li trasmette a una terza parte (un'azienda o un altro privato) a scopo di monitoraggio.

Le app devono contenere un'informativa ben visibile adeguata e ottenere il consenso come richiesto dalle norme relative ai dati utente.

Le app progettate e commercializzate esclusivamente per il monitoraggio di un'altra persona, ad esempio per monitorare i figli dei genitori o la gestione aziendale, per il monitoraggio di singoli dipendenti, purché soddisfino completamente i requisiti descritti in seguito in questo documento, sono le uniche app di monitoraggio accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche se con il loro consenso e la loro autorizzazione, a prescindere dalla visualizzazione di una notifica persistente. Per poter essere classificate in modo appropriato come app di monitoraggio, queste app devono usare il flag di metadati IsMonitoringTool nel proprio file manifest.

Le app di monitoraggio devono soddisfare i seguenti requisiti:

  • Le app non devono essere presentate come soluzioni per spionaggio o sorveglianza segreta.
  • Le app non devono nascondere o mascherare il comportamento di monitoraggio oppure tentare di ingannare gli utenti in merito a questa funzionalità.
  • Le app devono presentare agli utenti una notifica persistente ogni volta che sono in esecuzione e un'icona univoca che identifichi chiaramente l'app.
  • Le app devono comunicare la funzionalità di monitoraggio o tracciamento nella descrizione del Google Play Store.
  • Le app e le relative schede su Google Play non devono consentire in alcun modo di attivare o accedere a funzionalità che violano i presenti termini, ad esempio link che rimandano a un APK non conforme non ospitato su Google Play.
  • Le app devono rispettare tutte le leggi vigenti. È tua esclusiva responsabilità determinare la legalità della tua app nelle località di destinazione.

Per ulteriori informazioni, consulta l'articolo del Centro assistenza sui flag isMonitoringTool.

denial of service

denial of service (DoS)

Codice che, all'insaputa dell'utente, esegue un attacco DoS (denial of service) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.

Ad esempio, questo può accadere inviando un volume elevato di richieste HTTP per generare un carico eccessivo sui server remoti.

Downloader ostili

Downloader ostili

Codice che non è potenzialmente dannoso di per sé, ma che scarica altre app potenzialmente dannose.

Il codice potrebbe essere un downloader ostile se:

  • C'è motivo di credere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato le app potenzialmente dannose o che contenga codice che potrebbe scaricare e installare app; o
  • Almeno il 5% delle app scaricate dal programma è costituito da app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).

I principali browser e app per la condivisione di file non sono considerati downloader ostili se:

  • Non generano download senza l'interazione dell'utente. e
  • Tutti i download di app potenzialmente dannose vengono avviati da utenti che hanno dato il consenso.
Minaccia non Android

Minaccia non Android

Codice che contiene minacce non Android.

Queste app non possono causare danni all'utente o al dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.

Phishing

Phishing

Codice che finge di provenire da una fonte attendibile, richiede le credenziali di autenticazione o i dati di fatturazione di un utente e invia i dati a una terza parte. Questa categoria si applica anche al codice che intercetta la trasmissione delle credenziali utente in transito.

Tra gli obiettivi di phishing più comuni ci sono le credenziali bancarie, i numeri di carte di credito e le credenziali di account online per social network e giochi.

Escalation dei privilegi

Abuso di privilegi elevati

Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati oppure modificando o disattivando l'accesso alle funzioni principali relative alla sicurezza.

Tra gli esempi possibili:

  • Un'app che viola il modello di autorizzazioni Android o sottrae le credenziali (ad esempio, i token OAuth) da altre app.
  • App che utilizzano funzionalità in modo illecito per evitare disinstallazioni o interruzioni.
  • Un'app che disattiva SELinux.

Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.

Ransomware

Ransomware

Codice che assume il controllo parziale o esteso di un dispositivo o dei dati presenti su un dispositivo e richiede all'utente di effettuare un pagamento o di eseguire un'azione per rilasciare il controllo.

Alcuni ransomware criptano i dati sul dispositivo ed richiedono un pagamento per decriptare i dati e/o sfruttare le funzionalità di amministrazione del dispositivo in modo che non possano essere rimossi da un utente tipico. Tra gli esempi possibili:

  • impedire all'utente di accedere al suo dispositivo ed esigere denaro per ripristinare il controllo da parte dell'utente.
  • Crittografia dei dati sul dispositivo ed emissione di un pagamento, apparentemente per decriptare i dati.
  • Sfruttare le funzionalità di Gestione dei criteri dei dispositivi e bloccare la rimozione da parte dell'utente.

Il codice distribuito con il dispositivo il cui scopo principale è la gestione dei dispositivi sovvenzionata può essere escluso dalla categoria di ransomware, a condizione che soddisfi i requisiti per la gestione e il blocco sicuri e i requisiti di consenso e divulgazione dell'utente.

Rooting

Rooting

Codice che esegue il rooting del dispositivo.

C'è una differenza tra codice di rooting non dannoso e dannoso. Ad esempio, le app di rooting comunicano all'utente in anticipo che stanno per eseguire il rooting del dispositivo e non eseguono altre azioni potenzialmente dannose che si applicano ad altre categorie di app potenzialmente dannose.

Le app di rooting dannoso non comunicano all'utente che stanno per eseguire il rooting del dispositivo o li informano in anticipo del rooting, ma eseguono anche altre azioni che riguardano altre categorie di app potenzialmente dannose.

Spam

Spam

Codice che invia messaggi non richiesti ai contatti dell'utente o utilizza il dispositivo per l'inoltro di spam via email.


Rooting

Spyware

Lo spyware è un'applicazione, un codice o un comportamento dannoso che raccoglie, esfiltra o condivide dati utente o dispositivo non correlati alla funzionalità conforme ai criteri.

Sono considerati spyware anche codice o comportamenti dannosi che possono essere considerati come spionaggio dell'utente o esfiltrazione di dati senza comunicazione o consenso adeguati.

Ad esempio, le violazioni dello spyware includono, a titolo esemplificativo:

  • Registrazione dell'audio o registrazione delle chiamate effettuate sullo smartphone
  • Furto di dati dell'app
  • Un'app con codice di terze parti dannoso (ad esempio, un SDK) che trasmette dati all'esterno del dispositivo in modo imprevisto per l'utente e/o senza un adeguato preavviso o consenso dell'utente.
Trojan

Trojan

Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente tale, ma che esegue azioni indesiderate nei confronti dell'utente.

Questa classificazione è generalmente utilizzata in combinazione con altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia messaggi SMS premium dal dispositivo dell'utente in background e all'insaputa dell'utente.

Non comune

Una nota sulle app non comuni

Le app nuove e rare possono essere classificate come non comuni se Google Play Protect non dispone di informazioni sufficienti per cancellarle come sicure. Ciò non significa che l'app è necessariamente dannosa, ma senza un'ulteriore revisione non può essere autorizzata nemmeno come sicura.

maschera

Articoli per maschere

Un'applicazione che utilizza una varietà di tecniche di evasione per fornire all'utente funzionalità dell'applicazione diverse o false. Queste app si mascherano come applicazioni o giochi legittimi per sembrare innocui per gli store e utilizzano tecniche come l'offuscamento, il caricamento dinamico del codice o il cloaking per rivelare contenuti dannosi.

Il mascheramento è simile ad altre categorie di app potenzialmente dannose, in particolare i trojan, con la differenza principale nelle tecniche utilizzate per offuscare le attività dannose.

Software mobile indesiderato

Google definisce software indesiderato (UwS) come app che non sono strettamente malware, ma sono dannose per l'ecosistema software. Il software indesiderato per dispositivi mobili si spaccia per altre app o raccoglie almeno uno dei seguenti software senza il consenso dell'utente:

  • Numero di telefono del dispositivo
  • Indirizzo email principale
  • Informazioni sulle app installate
  • Informazioni sugli account di terze parti

MUwS viene monitorato separatamente dal malware. Puoi visualizzare le categorie di MuwS qui.

Avvisi di Google Play Protect

Quando Google Play Protect rileva una violazione delle norme relative al malware, all'utente viene mostrato un avviso. Le stringhe di avviso per ogni violazione sono disponibili qui.