Software malicioso

Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (por ejemplo, software malicioso). A través de este principio fundamental, nos esforzamos por ofrecer un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.

El software malicioso es cualquier código que pueda poner en riesgo a un usuario, sus datos o un dispositivo. El software malicioso incluye, entre otros, Aplicaciones Potencialmente Dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y aplicaciones de software espía. Actualizamos esta lista de manera continua con nuevas categorías.

Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:

  • Comprometer la integridad del dispositivo del usuario
  • Obtener control sobre el dispositivo de un usuario
  • Habilitar operaciones controladas de manera remota para que el atacante pueda acceder al dispositivo infectado, usarlo o abusar de él de otro modo
  • Transmitir datos personales o credenciales fuera del dispositivo sin la divulgación y el consentimiento adecuados
  • Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
  • Estafar al usuario

Una aplicación, un objeto binario o una modificación del framework pueden ser potencialmente dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto sucede porque es posible que las aplicaciones, los objetos binarios o las modificaciones del framework funcionen de manera diferente según diversas variables. Por lo tanto, lo que es perjudicial para un dispositivo Android podría no plantear ningún riesgo para otro dispositivo Android. Por ejemplo, un dispositivo que ejecuta la versión más reciente de Android no se ve afectado por apps dañinas que usan APIs obsoletas para provocar un comportamiento malicioso, pero sí podría estar en riesgo un dispositivo que ejecuta una versión de Android mucho más antigua. Las apps, los objetos binarios o las modificaciones de framework se marcan como software malicioso o APD si claramente plantean un riesgo para todos los dispositivos y usuarios de Android.

Las categorías de software malicioso que se incluyen a continuación reflejan nuestra firme convicción de que los usuarios deben comprender cómo se aprovechan sus dispositivos y promover un ecosistema seguro que permita una sólida innovación y una experiencia confiable del usuario.

Categorías de software malicioso

Puerta trasera

Puertas traseras

Se trata de código que permite que se ejecuten operaciones no deseadas, potencialmente dañinas y controladas de forma remota en un dispositivo.

Estas operaciones pueden incluir un comportamiento que colocaría a la app, el objeto binario o la modificación del framework en una de las otras categorías de software malicioso si se ejecutaran automáticamente. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está totalmente alineada con categorías como fraude de facturación o software espía comercial. Como resultado, en determinadas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.

Fraude de facturación

Fraude de facturación

Se trata de código que procesa un cobro al usuario de manera intencionalmente engañosa.

El fraude en la facturación de telefonía celular se divide en fraude por SMS, fraude telefónico y fraude de cargos telefónicos.

Fraude de SMS

Se trata de código que les cobra a los usuarios por el envío de SMS premium sin su consentimiento o que intenta disimular las actividades de SMS ocultando acuerdos de divulgación o mensajes SMS del operador de telefonía móvil que le notifican al usuario sobre los cargos o confirman las suscripciones.

Parte de este código, si bien técnicamente divulga el comportamiento de envío de SMS, incorpora comportamiento adicional que da lugar al fraude por SMS. Algunos ejemplos incluyen ocultarle al usuario partes de un acuerdo de divulgación, dificultar su lectura, y suprimir de forma condicional mensajes SMS del operador de telefonía móvil en los que se le informa al usuario sobre los cargos o se confirma una suscripción.

Fraude telefónico

Se trata de código que genera cobros a los usuarios mediante llamadas a números premium sin su consentimiento.

Fraude de cargos telefónicos

Se trata de código que engaña al usuario para que se suscriba a contenido o lo compre a través de su factura de telefonía móvil.

El fraude en tarifa incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos de esto incluyen la facturación directa del operador, el protocolo de aplicación inalámbrica (WAP) y la transferencia de tiempo de comunicación de telefonía móvil. El fraude de WAP es uno de los tipos de fraude en tarifa más predominantes. Puede incluir engaño a los usuarios para que hagan clic en un botón de una versión de WebView transparente que se carga de manera silenciosa. Cuando se realiza la acción, se inicia una suscripción recurrente y suele piratearse el correo electrónico o SMS de confirmación para impedir que los usuarios noten la transacción financiera.

Software de acecho

Software de acecho

Código que recopila datos personales o sensibles de los usuarios de un dispositivo y los transmite a un tercero (empresa o persona física) con fines de supervisión.

Las aplicaciones deben proporcionar una divulgación destacada adecuada y obtener el consentimiento según lo exige la política de Datos del Usuario.

Las aplicaciones diseñadas y comercializadas exclusivamente para supervisar a otra persona, por ejemplo, para que los padres vigilen a sus hijos o los administradores empresariales supervisen a sus empleados, son las únicas aplicaciones de supervisión aceptables, siempre que satisfagan por completo los requisitos que se describen más adelante en este documento. Estas apps no se pueden usar para rastrear a nadie más (por ejemplo, un cónyuge), incluso con su conocimiento y permiso, más allá de si se muestra una notificación persistente. Estas aplicaciones deben usar el parámetro de metadatos IsMonitoringTool en el archivo del manifiesto para designarse correctamente como aplicaciones de supervisión.

Las aplicaciones de supervisión deben satisfacer estos requisitos:

  • Las apps no deben presentarse como una solución de espionaje o vigilancia secreta.
  • Las aplicaciones no deben ocultar ni encubrir el comportamiento relacionado con el seguimiento, ni intentar engañar a los usuarios sobre esa función.
  • Las apps deben presentarse ante los usuarios con una notificación persistente en todo momento mientras estén en ejecución y deben tener un ícono único que las identifique claramente.
  • Las apps deben divulgar la funcionalidad de supervisión o seguimiento en la descripción de Google Play Store.
  • Las aplicaciones y fichas que se muestran en Google Play no deben proporcionar ningún medio para activar o acceder a funcionalidades que incumplan estos términos, como vínculos a archivos APK alojados fuera de Google Play que no satisfagan dichos términos.
  • Las apps deben satisfacer todas las leyes aplicables. La responsabilidad de determinar la legalidad de la aplicación en el mercado de destino recae exclusivamente sobre usted.

Para obtener más información, consulta el artículo del Centro de ayuda sobre el uso del parámetro isMonitoringTool.

Denegación del servicio

Denegación del servicio (DoS)

Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque de DoS distribuido contra otros sistemas y recursos.

Por ejemplo, esto puede ocurrir cuando se envía una gran cantidad de solicitudes HTTP para producir una carga excesiva en servidores remotos.

Aplicaciones de descarga hostil

Aplicaciones de descarga hostil

Se trata de código que no es potencialmente dañino en sí, pero que descarga otras APD.

El código puede ser de descarga hostil de contenido si ocurre lo siguiente:

  • Hay motivos para creer que se creó con el fin de distribuir APD y descargó APD o contiene código que podría descargar e instalar apps.
  • Al menos el 5% de las apps descargadas por este son APD, con un umbral mínimo de 500 descargas de apps observadas (25 descargas de APD observadas).

No se considera que los navegadores ni las aplicaciones de archivos compartidos más significativos sean de descarga hostil siempre que ocurra lo siguiente:

  • No activan descargas sin la interacción del usuario.
  • Todas las descargas de APD son iniciadas por usuarios que dieron su consentimiento.
Amenaza no relacionada con Android

Amenaza no relacionada con Android

Se trata de código que contiene amenazas no relacionadas con Android.

Estas apps no pueden causar daño a los dispositivos ni usuarios de Android, pero contienen componentes potencialmente dañinos para otras plataformas.

Phishing

Phishing

Se trata de código que finge provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y los envía a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de las credenciales de usuario en tránsito.

La suplantación de identidad (phishing) suele estar orientada a credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.

Elevación de privilegios

Abuso de privilegios elevados

Se trata de código que compromete la integridad del sistema, ya que trasciende la zona de pruebas de la app, obtiene privilegios elevados o cambia o inhabilita el acceso a funciones básicas relacionadas con la seguridad.

Los siguientes son algunos ejemplos:

  • Aplicaciones que no cumplen con el modelo de permisos de Android o que roban credenciales (p. ej., tokens de OAuth) de otras aplicaciones
  • Apps que abusan de las funciones para evitar que las desinstalen o las detengan
  • Aplicaciones que inhabilitan SELinux

Las aplicaciones de elevación de privilegios que otorgan a los dispositivos derechos de administrador sin permiso del usuario se clasifican como aplicaciones que otorgan derechos de administrador.

Ransomware

Ransomware

Se trata de código que toma el control parcial o amplio de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.

Algunos ransomware encriptan los datos en el dispositivo y exigen el pago para desencriptarlos, o bien aprovechan las funciones administrativas del dispositivo de modo que no pueda quitarlo un usuario común. Los siguientes son algunos ejemplos:

  • Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer su control
  • Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
  • Implementar las funciones del administrador de políticas del dispositivo y bloquear la acción del usuario para quitar la restricción

Se trata de código que se distribuye con el dispositivo y cuyo fin principal es que la administración del dispositivo subsidiado se pueda excluir de la categoría de ransomware siempre y cuando cumpla satisfactoriamente con los requisitos de administración y bloqueo seguros, y con los de consentimiento y divulgación adecuada para el usuario.

Modificación de dispositivos para obtener permisos de administrador (Rooting)

Modificación de dispositivos para obtener permisos de administrador (Rooting)

Se trata de código que modifica el dispositivo para obtener permisos de administrador.

Hay una diferencia en el código de este tipo cuando es malicioso y no malicioso. Por ejemplo, las apps que modifican el dispositivo para tener permisos de administrador le notifican al usuario por adelantado que harán esto y no ejecutan otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.

Las apps que modifican el dispositivo para obtener permisos de administrador con fines maliciosos no le notifican al usuario sobre el proceso, o bien lo hacen con anticipación, pero además ejecutan otras acciones que se aplican a otras categorías de APD.

Spam

Spam

Se trata de código que envía mensajes no solicitados a los contactos del usuario o usa el dispositivo como retransmisor de spam por correo electrónico.


Modificación de dispositivos para obtener permisos de administrador (Rooting)

Software espía

El software espía es una aplicación, un código o un comportamiento malicioso que recopila, exfiltra o comparte los datos de un usuario o dispositivo de una manera no relacionada con la funcionalidad permitida por las políticas.

También se considera software espía el código o los comportamientos maliciosos que se puedan considerar como una forma de espiar al usuario o que exfiltren datos sin la notificación o el consentimiento correspondientes.

Por ejemplo, los incumplimientos relacionados con el software espía pueden incluir, entre otros:

  • Grabaciones de audio o de llamadas realizadas al teléfono
  • Robo de datos de las aplicaciones
  • Una app con código externo malicioso (por ejemplo, un SDK) que transmite datos hacia fuera del dispositivo de una manera que el usuario no espera o sin una notificación o el consentimiento correspondientes del usuario
Troyano

Troyano

Se trata de código que parece benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario.

Esta clasificación se suele usar en combinación con otras categorías de APD. Un troyano contiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía SMS premium desde el dispositivo del usuario en segundo plano y sin que el usuario lo sepa.

Poco común

Nota sobre Apps Poco Comunes

Las apps nuevas o exóticas se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la app sea necesariamente dañina, pero tampoco se puede considerar segura sin un análisis más profundo.

Software de riesgo

Software de riesgo

Una aplicación que usa una variedad de técnicas de evasión para presentarle al usuario funciones falsas o diferentes a las esperadas. Estas apps se hacen pasar por aplicaciones o juegos legítimos para parecer inofensivas en las tiendas de aplicaciones y para los usuarios, y usan técnicas como la ofuscación, la carga de código dinámico o el encubrimiento para mostrar contenido potencialmente dañino.

El software de riesgo es similar a otras categorías de APD, en especial los troyanos, y su principal diferencia son las técnicas que se usan para ofuscar la actividad maliciosa.

Software no deseado para dispositivos móviles (MUwS)

Google define el software no deseado (UwS) como las apps que no son estrictamente software malicioso, pero que son perjudiciales para el ecosistema de software. El software no deseado para dispositivos móviles (MUwS) se hace pasar por otras apps o recopila al menos uno de los siguientes elementos sin el consentimiento del usuario:

  • Número de teléfono del dispositivo
  • Dirección de correo electrónico principal
  • Información sobre las apps instaladas
  • Información sobre las cuentas de terceros

El MUwS se rastrea por separado del software malicioso. Puedes ver las categorías de MUwS aquí.

Advertencias de Google Play Protect

Cuando Google Play Protect detecta un incumplimiento de la política de software malicioso, se muestra una advertencia al usuario. Las cadenas de advertencia para cada incumplimiento están disponibles aquí.