Se usó la API de Cloud Translation para traducir esta página.

Categorías de software malicioso

Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (por ejemplo, software malicioso). A través de este principio fundamental, nos esforzamos por brindar un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.

El software malicioso es cualquier código que pueda poner en riesgo a un usuario, sus datos o un dispositivo. Se incluyen, entre otros, aplicaciones potencialmente dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y apps de software espía. Actualizamos y agregamos categorías nuevas continuamente.

Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:

Comprometer la integridad del dispositivo del usuario
Obtener control sobre el dispositivo de un usuario
Habilitar operaciones controladas de forma remota para que un atacante acceda al dispositivo infectado, lo use o lo aproveche
Transmitir datos personales o credenciales fuera del dispositivo sin la divulgación ni el consentimiento adecuados
Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
Estafar al usuario

Una app, un objeto binario o una modificación del framework pueden ser potencialmente dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto se debe a que las apps, los objetos binarios o las modificaciones del framework pueden funcionar de manera diferente según diversas variables. Por lo tanto, lo que es dañino para un dispositivo Android puede no representar un riesgo para otro dispositivo Android. Por ejemplo, un dispositivo que ejecuta la versión más reciente de Android no se ve afectado por apps dañinas que usan APIs obsoletas para realizar un comportamiento malicioso, pero un dispositivo que ejecuta una versión muy antigua de Android podría estar en riesgo. Las apps, los objetos binarios o las modificaciones del framework se marcan como software malicioso o APD si claramente plantean un riesgo para todos los dispositivos y usuarios de Android.

Las siguientes categorías de software malicioso reflejan nuestra creencia fundamental de que los usuarios deben comprender cómo se aprovechan sus dispositivos y promover un ecosistema seguro que permita una innovación sólida y una experiencia del usuario confiable.

Categorías de software malicioso

Puerta trasera

Se trata de código que permite que se ejecuten operaciones no deseadas, potencialmente dañinas y de control remoto en un dispositivo.

Estas operaciones pueden incluir un comportamiento que colocaría a la app, el objeto binario o la modificación del framework en una de las otras categorías de software malicioso si se ejecutaran automáticamente. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está completamente alineada con categorías como fraude de facturación o software espía comercial. Como resultado, en algunas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.

Nota: La clasificación por categorías de software malicioso de puerta trasera depende de cómo actúa el código. Una condición necesaria para que cualquier código se clasifique como puerta trasera es que permita un comportamiento que colocaría el código en una de las otras categorías de software malicioso si se ejecutara automáticamente. Por ejemplo, si una app permite la carga de un código dinámico y este extrae mensajes de texto, se clasificará como software malicioso de puerta trasera.

Sin embargo, si una app permite la ejecución de un código arbitrario y no tenemos motivos para creer que esta ejecución de código se agregó para realizar un comportamiento malicioso, entonces la app se tratará como con una vulnerabilidad, en lugar de ser un software malicioso de puerta trasera, y se le pedirá al desarrollador que le aplique un parche.

fraude de facturación

Se trata de código que cobra automáticamente al usuario de manera intencionalmente engañosa.

El fraude en la facturación móvil se divide en fraude por SMS, fraude por llamadas y fraude en tarifa.

fraude de SMS

Se trata de código que les cobra a los usuarios por enviar SMS premium sin su consentimiento o que intenta ocultar sus actividades de SMS ocultando acuerdos de divulgación o mensajes SMS del operador de telefonía celular que notifican al usuario sobre los cargos o confirman las suscripciones.

Parte del código, aunque técnicamente divulga el comportamiento de envío de SMS, introduce un comportamiento adicional que se adapta al fraude por SMS. Algunos ejemplos incluyen ocultar partes de un acuerdo de divulgación del usuario, hacerlos ilegibles y suprimir condicionalmente mensajes SMS del operador de telefonía celular para informarles sobre cargos o confirmar una suscripción.

Fraude telefónico

Se trata de código que cobra a los usuarios mediante llamadas a números premium sin su consentimiento.

fraude de cargos telefónicos

Se trata de código que engaña a los usuarios para que se suscriban a contenido o lo compren a través de su factura de teléfono celular.

El fraude en tarifa incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos son la facturación directa del operador, el protocolo de aplicaciones inalámbricas (WAP) y la transferencia de tiempo de comunicación móvil. El fraude de WAP es uno de los tipos de fraude de peaje más frecuente. El fraude de WAP puede incluir engañar a los usuarios para que hagan clic en un botón de una WebView transparente y que se carga silenciosamente. Cuando se realiza la acción, se inicia una suscripción recurrente y, a menudo, se usurpa el SMS o correo electrónico de confirmación para evitar que los usuarios noten la transacción financiera.

Stalkerware (software espía comercial)

Se trata de código que recopila o transmite datos personales o sensibles del usuario desde un dispositivo sin la notificación ni el consentimiento adecuados y no muestra una notificación persistente al respecto.

Las apps de stalkerware se orientan a los usuarios de dispositivos mediante la supervisión de sus datos personales o sensibles, y su transmisión o acceso a terceros.

Las apps diseñadas y comercializadas exclusivamente para que los padres rastreen a sus hijos o de administración empresarial son las únicas de vigilancia aceptables, siempre que satisfagan por completo los requisitos que se describen a continuación. Estas aplicaciones no se pueden usar para seguir a nadie más (un cónyuge, por ejemplo), incluso con su conocimiento y permiso, sin importar si se muestra una notificación persistente.

Denegación del servicio (DoS)

Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque DoS distribuido contra otros sistemas y recursos.

Por ejemplo, esto puede suceder cuando se envía un gran volumen de solicitudes HTTP para producir una carga excesiva en servidores remotos.

Usuarios de descarga hostil

Se trata de código que no es potencialmente dañino en sí, pero que descarga otras APD.

Es posible que el código sea de descarga hostil en los siguientes casos:

Hay motivos para creer que se creó con el fin de distribuir APD y descargó APD o contiene código que podría descargar e instalar apps.
Al menos el 5% de las apps que descarga son APD con un umbral mínimo de 500 descargas de apps observadas (25 descargas de APD observadas).

Los principales navegadores y apps de uso compartido de archivos no se consideran usuarios de descarga hostiles siempre que se cumplan las siguientes condiciones:

No generan descargas sin interacción del usuario.
Todas las descargas de APD se inician si el usuario da su consentimiento.

Amenaza para usuarios ajenos a Android

Se trata de código que contiene amenazas no relacionadas con Android.

Estas apps no pueden causar daños al dispositivo ni al usuario de Android, pero contienen componentes potencialmente dañinos para otras plataformas.

Phishing

Se trata de código que pretende provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y los envía a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de las credenciales del usuario en tránsito.

La suplantación de identidad (phishing) suele estar orientada a credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.

Abuso de privilegios elevados

Se trata de código que compromete la integridad del sistema, ya que rompe la zona de pruebas de la app, obtiene privilegios elevados o cambia o inhabilita el acceso a funciones principales relacionadas con la seguridad.

Los siguientes son algunos ejemplos:

Apps que no cumplen con el modelo de permisos de Android o que roban credenciales (como tokens de OAuth) de otras apps
Apps que abusan de las funciones para evitar que las desinstalen o las detengan
Apps que inhabilitan SELinux

Las apps de elevación de privilegios que otorgan a los dispositivos permisos de administrador sin el permiso del usuario se clasifican como apps con permisos de administrador.

Ransomware

Se trata de código que toma el control parcial o amplio de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.

Algunos ransomware encripta los datos en el dispositivo y exigen un pago para desencriptarlos o aprovechar las funciones administrativas del dispositivo de modo que un usuario común no pueda quitarlos. Los siguientes son algunos ejemplos:

Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer su control
Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
Se aprovechan las funciones del Administrador de políticas del dispositivo y se bloquean las eliminaciones por parte del usuario.

El código que se distribuye con el dispositivo y cuyo objetivo principal es la administración de dispositivos subsidiados puede excluirse de la categoría de ransomware siempre y cuando cumpla con los requisitos de administración y bloqueo seguros, y con los requisitos de divulgación y consentimiento adecuados para los usuarios.

Modificación de dispositivos para obtener permisos de administrador (Rooting)

Se trata de código que modifica el dispositivo para obtener permisos de administrador.

Hay una diferencia entre el código no malicioso y el malicioso. Por ejemplo, estas apps le avisan al usuario con anticipación que lo harán y no ejecutan otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.

Estas apps no le informan al usuario que harán esto, o lo hacen con anticipación, pero también ejecutan otras acciones que se aplican a otras categorías de APD.

Spam

Se trata de código que envía mensajes no solicitados a los contactos del usuario o usa el dispositivo como retransmisor de spam por correo electrónico.

Software espía

Se trata de código que transmite datos personales fuera del dispositivo sin la notificación ni el consentimiento adecuados.

Por ejemplo, la transmisión de la siguiente información sin divulgaciones o de una manera inesperada para el usuario es suficiente para que se la considere como software espía:

Lista de contactos
Fotos y otros archivos de la tarjeta SD, o que no sean propiedad de la app
Contenido del correo electrónico del usuario
Registro de llamadas
Registro de SMS
Historial web o favoritos del navegador predeterminado
Información de los directorios /datos/ de otras apps

Los comportamientos que se puedan considerar como una forma de espiar al usuario también se pueden marcar como software espía. Por ejemplo, grabar audio o llamadas realizadas al teléfono, o robar datos de apps.

Troyano

Se trata de código que parece benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario.

Esta clasificación se suele usar en combinación con otras categorías de APD. Un troyano contiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía mensajes SMS premium desde el dispositivo del usuario en segundo plano y sin el conocimiento del usuario.

Poco común

Las apps nuevas y raras se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la app sea necesariamente dañina, pero tampoco se puede considerar segura sin una revisión más detallada.

Máscaras

Una aplicación que usa una variedad de técnicas de evasión para entregar al usuario una funcionalidad de la aplicación diferente o falsa. Estas apps se enmascaran como aplicaciones o juegos legítimos a fin de parecer inofensivos para las tiendas de aplicaciones y usan técnicas como la ofuscación, la carga dinámica de código o el encubrimiento para revelar contenido malicioso.

Maskware es similar a otras categorías de APD, específicamente los troyanos, y la diferencia principal son las técnicas que se usan para ofuscar la actividad maliciosa.

Software No Deseado para Dispositivos Móviles (MUwS)

Google define el software no deseado (UwS) como las apps que no son estrictamente software malicioso, pero que son dañinas para el ecosistema de software. El software no deseado para dispositivos móviles (MUwS) roba la identidad de otras apps o recopila, al menos, uno de los siguientes elementos sin el consentimiento del usuario:

Número de teléfono del dispositivo
Dirección de correo electrónico principal
Información sobre las apps instaladas
Información sobre cuentas de terceros

El seguimiento de MUwS se realiza por separado del software malicioso. Consulta las categorías de MUwS aquí.

Advertencias de Google Play Protect

Cuando Google Play Protect detecte un incumplimiento de la política de software malicioso, se mostrará una advertencia para el usuario. Las strings de advertencia para cada incumplimiento están disponibles aquí.