Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (por ejemplo, software malicioso). A través de este principio fundamental, nos esforzamos por ofrecer un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.
Software malicioso es cualquier código que pueda poner en riesgo a un usuario, sus datos o un dispositivo. Se incluyen, entre otros, aplicaciones potencialmente dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y apps de software espía. Actualizamos esta lista de manera continua con nuevas categorías.
Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:
- Comprometer la integridad del dispositivo del usuario
- Obtener control sobre el dispositivo de un usuario
- Habilita operaciones controladas de forma remota para que un atacante pueda acceder a un dispositivo infectado, usarlo o abusar de él de cualquier otra manera.
- Transmitir datos personales o credenciales fuera del dispositivo sin la divulgación ni el consentimiento adecuados
- Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
- Estafar al usuario
Una app, un objeto binario o una modificación del framework pueden ser potencialmente dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto se debe a que las apps, los objetos binarios o las modificaciones del framework pueden funcionar de manera diferente según diversas variables. Por lo tanto, lo que es dañino para un dispositivo Android podría no representar ningún riesgo para otro dispositivo Android. Por ejemplo, un dispositivo que ejecuta la versión más reciente de Android no se ve afectado por apps dañinas que usan APIs obsoletas para llevar a cabo un comportamiento malicioso, pero un dispositivo que aún ejecuta una versión muy antigua de Android podría estar en riesgo. Las apps, los objetos binarios o las modificaciones de framework se marcan como software malicioso o APD si claramente plantean un riesgo para algunos o todos los dispositivos y usuarios de Android.
Las categorías de software malicioso que se incluyen a continuación reflejan nuestra creencia fundamental de que los usuarios deben comprender cómo se aprovechan sus dispositivos y promover un ecosistema seguro que permita una sólida innovación y una experiencia del usuario confiable.
Categorías de software malicioso
Puertas traseras
Se trata de código que permite que se ejecuten operaciones no deseadas, potencialmente dañinas y controladas de forma remota en un dispositivo.
Estas operaciones pueden incluir un comportamiento que colocaría a la app, el objeto binario o la modificación del framework dentro de una de las otras categorías de software malicioso si se ejecutaran automáticamente. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está completamente alineada con categorías como fraude de facturación o software espía comercial. Como resultado, en algunas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.
fraude de facturación
Código que cobra automáticamente al usuario de manera intencionalmente engañosa.
El fraude en la facturación de telefonía celular se divide en fraude por SMS, fraude mediante llamadas y fraude en tarifa.
fraude de SMS
Se trata de código que les cobra a los usuarios por enviar SMS premium sin consentimiento o que intenta ocultar sus actividades de SMS ocultando acuerdos de divulgación o mensajes SMS al operador de telefonía celular que notifican al usuario sobre los cargos o confirman las suscripciones.
Parte del código, aunque técnicamente divulga el comportamiento de envío de SMS, introduce un comportamiento adicional que da lugar al fraude por SMS. Algunos ejemplos incluyen ocultar partes de un acuerdo de divulgación al usuario, hacer que sean ilegibles y suprimir de forma condicional mensajes SMS del operador de telefonía celular en los que se informa al usuario sobre los cargos o se confirma una suscripción.
Fraude telefónico
Se trata de código que genera cobros a los usuarios mediante llamadas a números premium sin su consentimiento.
Fraude de peajes
Se trata de código que engaña a los usuarios para que se suscriban a contenido o lo compren a través de su factura de telefonía celular.
El fraude en peajes incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos incluyen la facturación directa del operador, el punto de acceso inalámbrico (WAP) y la transferencia de tiempo de aire a través de dispositivos móviles. El fraude de WAP es uno de los tipos de fraude de peajes más frecuentes. Este tipo de fraude puede incluir engañar a los usuarios para que hagan clic en un botón de una WebView transparente que se carga de manera silenciosa. Cuando se realiza la acción, se inicia una suscripción recurrente y suele piratearse el correo electrónico o SMS de confirmación para evitar que los usuarios noten la transacción financiera.
Software de espionaje
Se trata de código que recopila datos personales o sensibles de los usuarios de un dispositivo y los transmite a un tercero (empresa o persona física) con fines de supervisión.
Las apps deben proporcionar una divulgación destacada adecuada y obtener el consentimiento según lo exige la política de Datos del Usuario.
Las apps diseñadas y comercializadas exclusivamente para supervisar a otra persona, por ejemplo, con el objetivo de supervisar a sus hijos o administradores empresariales y supervisar a empleados individuales, siempre que satisfagan por completo los requisitos que se describen más adelante en este documento son las únicas apps de supervisión aceptables. Estas aplicaciones no se pueden usar para seguir a nadie más (por ejemplo, un cónyuge), incluso con el conocimiento y permiso de la persona, más allá de si se muestra una notificación persistente. Estas apps deben usar el parámetro de metadatos IsMonitoringTool en el archivo del manifiesto para designarse correctamente como apps de supervisión.
Las aplicaciones de supervisión deben satisfacer estos requisitos:
- Las apps no deben presentarse como una solución de espionaje o vigilancia secreta.
- Las apps no deben ocultar ni encubrir el comportamiento relacionado con el seguimiento, ni intentar engañar a los usuarios sobre esa función.
- Las apps deben presentar a los usuarios una notificación persistente en todo momento mientras se esté ejecutando y un ícono único que la identifique claramente.
- Las apps deben divulgar la funcionalidad de supervisión o seguimiento en la descripción de Google Play Store.
- Las apps y fichas que se muestran en Google Play no deben proporcionar ningún medio para activar o acceder a funcionalidades que incumplan estos términos y condiciones, como vínculos a archivos APK alojados fuera de Google Play que no satisfagan dichos términos.
- Las apps deben cumplir con todas las leyes aplicables. La responsabilidad de determinar la legalidad de la app en el mercado de destino recae exclusivamente sobre ti.
Para obtener más información, consulta el artículo del Centro de ayuda sobre el uso del parámetro isMonitoringTool.
Denegación del servicio (DoS)
Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque DoS distribuido contra otros sistemas y recursos.
Por ejemplo, esto puede ocurrir cuando se envía un gran volumen de solicitudes HTTP para producir una carga excesiva en servidores remotos.
Apps de descarga hostiles
Se trata de código que no es potencialmente dañino en sí, pero que descarga otras PHA.
El código puede ser de descarga hostil en los siguientes casos:
- Hay motivos para creer que se creó con el fin de propagar APD y descargó APD o contiene código que podría descargar e instalar apps.
- Al menos el 5% de las apps descargadas por este son APD con un umbral mínimo de 500 descargas de apps observadas (25 descargas de APD observadas).
Los principales navegadores y las apps de uso compartido de archivos no se consideran herramientas de descarga hostiles siempre que tengan las siguientes características:
- No generan descargas sin la interacción del usuario.
- Todas las descargas de APD se inician si el usuario da su consentimiento.
Amenaza no relacionada con Android
Se trata de código que contiene amenazas que no son de Android.
Estas apps no pueden causar daño al usuario ni al dispositivo Android, pero contienen componentes potencialmente dañinos para otras plataformas.
Phishing
Se trata de código que pretende provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y envía los datos a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de credenciales del usuario en tránsito.
Los objetivos comunes de la suplantación de identidad (phishing) incluyen credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.
Abuso de privilegios elevados
Se trata de código que compromete la integridad del sistema, ya que trasciende la zona de pruebas de la app, obtiene privilegios elevados o cambia o inhabilita el acceso a funciones principales relacionadas con la seguridad.
Los siguientes son algunos ejemplos:
- Una app que no cumple con el modelo de permisos de Android o que roba credenciales (p. ej., tokens de OAuth) de otras apps
- Apps que abusan de las funciones para evitar que las desinstalen o las detengan
- Aplicaciones que inhabilitan SELinux
Las apps de elevación de privilegios que otorgan a los dispositivos permisos de administrador sin el permiso del usuario se clasifican como apps con permisos de administrador.
Ransomware
Se trata de código que toma el control parcial o amplio de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.
Algunos ransomware encripta los datos en el dispositivo y exigen el pago para desencriptarlos o aprovechar las funciones de administración del dispositivo de modo que un usuario típico no pueda quitarlos. Los siguientes son algunos ejemplos:
- Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer el control
- Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
- Aprovechar las funciones del Administrador de políticas del dispositivo y bloquear la eliminación por parte del usuario
Se trata de código que se distribuye con el dispositivo y cuyo objetivo principal es la administración de dispositivos subsidiados. Es posible que se excluya de la categoría de ransomware si cumple con los requisitos de administración y bloqueo seguros, y con los requisitos adecuados de divulgación y consentimiento del usuario.
Modificación de dispositivos para obtener permisos de administrador (Rooting)
Se trata de código que otorga permisos de administrador al dispositivo.
Hay una diferencia entre el código de raíz no malicioso y el malicioso. Por ejemplo, las apps que tienen permisos de administrador le permiten al usuario saber de antemano que lo hará en el dispositivo y no ejecutarán otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.
Las apps que tienen permisos de administrador con fines maliciosos no le informan al usuario que harán esto, o lo hacen con anticipación, pero también ejecutan otras acciones que se aplican a otras categorías de APD.
Spam
Se trata de código que envía mensajes no solicitados a los contactos del usuario o que usa el dispositivo como retransmisor de spam por correo electrónico.
Software espía
El software espía es una aplicación, código o comportamiento maliciosos que recopilan, filtran o comparten datos de usuarios o dispositivos que no están relacionados con funciones que cumplen con las políticas.
Los comportamientos o códigos maliciosos que se puedan considerar espiar al usuario o robar datos sin la notificación ni el consentimiento correspondientes también se consideran software espía.
Por ejemplo, las infracciones de software espía incluyen, entre otras, las siguientes:
- Grabación de audio o llamadas realizadas al teléfono
- Robo de datos de apps
- Una app con código malicioso de terceros (por ejemplo, un SDK) que transmite datos fuera del dispositivo de una manera inesperada para el usuario o sin el aviso o el consentimiento correspondientes del usuario
Troyano
Se trata de código que parece ser benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario.
Por lo general, esta clasificación se usa en combinación con otras categorías de APD. Un troyano tiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía mensajes SMS premium desde el dispositivo del usuario en segundo plano y sin que el usuario lo sepa.
Nota sobre apps poco comunes
Las apps nuevas y raras se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la app sea necesariamente dañina, pero tampoco se puede considerar segura sin un análisis más profundo.
Máscaras
Una aplicación que usa una variedad de técnicas de evasión para entregar al usuario una funcionalidad de aplicación diferente o falsa. Estas apps se enmascaran como aplicaciones o juegos legítimos para parecer inocuas a las tiendas de aplicaciones y usan técnicas como la ofuscación, la carga dinámica de código o el encubrimiento para revelar contenido malicioso.
El software de máscara es similar a otras categorías de APD, específicamente los de troyano, cuya diferencia principal son las técnicas que se usan para ofuscar la actividad maliciosa.
Software no deseado para dispositivos móviles (MUwS)
Google define el software no deseado (UwS) como las apps que no son estrictamente software malicioso, pero que son dañinas para el ecosistema de software. El software no deseado para dispositivos móviles (MUwS) roba la identidad de otras apps o recopila, al menos, una de las siguientes opciones sin el consentimiento del usuario:
- Número de teléfono del dispositivo
- Dirección de correo electrónico principal
- Información sobre las apps instaladas
- Información sobre cuentas de terceros
El seguimiento de MUwS se realiza de forma independiente del software malicioso. Puedes consultar las categorías de MUwS aquí.
Advertencias de Google Play Protect
Cuando Google Play Protect detecte un incumplimiento de la política de software malicioso, se mostrará una advertencia para el usuario. Las cadenas de advertencia para cada incumplimiento están disponibles aquí.