Malware

Codice che consente l'esecuzione su un dispositivo di operazioni controllate a distanza, indesiderate e potenzialmente dannose.

Queste operazioni potrebbero includere un comportamento che, se eseguito automaticamente, determinerebbe l'inclusione della modifica a framework, programmi binari o app in una delle altre categorie di malware. In generale, con il termine backdoor si descrive la modalità con cui un'operazione potenzialmente dannosa può verificarsi su un dispositivo, pertanto il termine non corrisponde esattamente a categorie quali frode di fatturazione o spyware commerciale. Conseguentemente, un sottoinsieme di backdoor, in determinate circostanze, viene considerato da Google Play Protect come una vulnerabilità.

Codice che effettua addebiti automatici agli utenti in modo intenzionalmente ingannevole.

La frode di fatturazione su dispositivi mobili può essere: frode tariffaria, SMS fraudolento o chiamata fraudolenta.

SMS fraudolento
Codice che effettua addebiti agli utenti per l'invio di SMS a pagamento senza il loro consenso o che cerca di camuffare le sue attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o che confermano gli abbonamenti.

Esiste del codice che, anche se tecnicamente comunica il comportamento di invio degli SMS, introduce un comportamento aggiuntivo che consente l'SMS fraudolento. Ecco alcuni esempi: nascondere parti di un accordo di divulgazione agli utenti o renderle illeggibili ed eliminare condizionalmente gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o confermano un abbonamento.

Chiamata fraudolenta
Codice che effettua addebiti agli utenti chiamando numeri a pagamento senza il consenso degli utenti.

Frode tariffaria
Codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.

La frode tariffaria include qualsiasi tipo di fatturazione ad eccezione di SMS e chiamate verso numerazioni a sovrapprezzo. Ecco alcuni esempi: fatturazione diretta con l'operatore, punto di accesso wireless (WAP) e trasferimento di credito tra dispositivi mobili. La frode WAP è uno dei tipi di frode tariffaria più usati. Chi attua questo tipo di frode potrebbe indurre con l'inganno gli utenti a fare clic su un pulsante in un componente WebView trasparente caricato in modo invisibile. Questa azione avvia un abbonamento ricorrente e l'email o l'SMS di conferma vengono spesso compromessi per evitare che gli utenti si accorgano della transazione finanziaria.

Codice che raccoglie dati utente personali o sensibili da un dispositivo e li trasmette a una terza parte (un'azienda o un privato) a fini di monitoraggio.

Le app devono contenere un'informativa ben visibile adeguata e ottenere il consenso come richiesto dalle norme relative ai dati utente.

Linee guida per le applicazioni di monitoraggio

Purché soddisfino completamente i requisiti descritti di seguito, le app progettate e commercializzate esclusivamente per il monitoraggio di un'altra persona, ad esempio per il monitoraggio dei figli da parte dei genitori o per il monitoraggio di singoli dipendenti da parte dei responsabili aziendali, sono le uniche app di monitoraggio accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche se con il loro consenso e la loro autorizzazione, a prescindere dalla visualizzazione di una notifica persistente. Per poter essere classificate in modo appropriato come app di monitoraggio, queste app devono usare il flag dei metadati IsMonitoringTool nel proprio file manifest.

Le app di monitoraggio devono soddisfare i seguenti requisiti:

• Le app non devono essere presentate come soluzioni per spionaggio o sorveglianza segreta.
• Le app non devono nascondere o mascherare il comportamento di monitoraggio oppure tentare di ingannare gli utenti in merito a questa funzionalità.
• Le app devono presentare agli utenti una notifica persistente per tutto il tempo in cui sono in esecuzione e un'icona univoca che le identifichi chiaramente.
• Le app devono comunicare la funzionalità di monitoraggio o tracciamento nella descrizione del Google Play Store.
• Le app e le relative schede su Google Play non devono consentire in alcun modo di attivare o accedere a funzionalità che violano i presenti termini, ad esempio link che rimandano a un APK non conforme non ospitato su Google Play.
• Le app devono rispettare tutte le leggi applicabili. È tua esclusiva responsabilità determinare la legalità della tua app nelle località di destinazione.

Codice che, a insaputa dell'utente, esegue un attacco denial of service (DoS) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.

Ad esempio, l'attacco potrebbe consistere nell'invio di un volume elevato di richieste HTTP per sovraccaricare server remoti.

Codice che non è potenzialmente dannoso di per sé, ma che scarica altre app potenzialmente dannose.

Il codice potrebbe essere un downloader ostile se:

• Esiste motivo di ritenere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato tali app o che contenga codice che potrebbe scaricare e installare app; oppure
• Almeno il 5% delle app scaricate dal codice è formato da app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).

I principali browser e app per la condivisione di file non sono considerati downloader ostili se:

• Non favoriscono download senza interazione dell'utente; e
• Tutti i download di app potenzialmente dannose vengono attivati da utenti consenzienti.

Codice contenente minacce non Android.

Queste app non possono danneggiare l'utente o il dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.

Codice che finge di provenire da una fonte affidabile, richiede le credenziali per l'autenticazione o i dati di fatturazione dell'utente e invia tali dati a una terza parte. Questa categoria, inoltre, si applica al codice che intercetta la trasmissione delle credenziali dell'utente in transito.

Tra gli obiettivi di phishing comuni, credenziali bancarie, numeri di carte di credito e credenziali di account online per social network e giochi.

Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati o modificando o disattivando l'accesso alle principali funzioni correlate alla sicurezza.

Tra gli esempi possibili:

• Un'app che viola il modello di autorizzazioni Android o sottrae le credenziali (ad esempio, i token OAuth) da altre app.
• App che abusano di funzionalità per evitare di essere disinstallate o arrestate.
• Un'app che disattiva SELinux.

Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.

Codice che assume il controllo parziale o totale di un dispositivo o dei dati su un dispositivo ed esige dall'utente un pagamento o un'azione per rilasciare il controllo.

Alcuni tipi di ransomware criptano i dati sul dispositivo ed esigono un pagamento per decriptare i dati e/o sfruttano le funzionalità di amministratore del dispositivo in modo che il ransomware non possa essere rimosso da un utente medio. Tra gli esempi possibili:

• Impedire all'utente di accedere al dispositivo ed esigere denaro in cambio del ripristino del controllo da parte dell'utente.
• Criptare i dati sul dispositivo ed esigere un pagamento, verosimilmente in cambio della decriptazione dei dati.
• Sfruttare le funzionalità di Gestione norme del dispositivo e bloccare la rimozione da parte dell'utente.

Eventuale codice distribuito con il dispositivo la cui finalità primaria sia la gestione di un dispositivo sovvenzionato può essere escluso dalla categoria del ransomware, a condizione che soddisfi i requisiti per la gestione e il blocco sicuri, nonché i requisiti di comunicazione e consenso adeguati da parte dell'utente.

Codice che esegue il rooting del dispositivo.

C'è una differenza tra codice di rooting non dannoso e dannoso. Ad esempio, le app di rooting non dannoso consentono agli utenti di sapere in anticipo che stanno per eseguire il rooting del dispositivo e non eseguono altre azioni potenzialmente dannose che riguardano altre categorie di app potenzialmente dannose.

Le app di rooting dannoso non comunicano agli utenti che stanno per eseguire il rooting del dispositivo e non li informano anticipatamente del rooting; eseguono inoltre altre azioni che riguardano altre categorie di app potenzialmente dannose.

Codice che invia messaggi non richiesti ai contatti dell'utente o che utilizza il dispositivo per l'inoltro di spam via email.

Lo spyware è un'applicazione, un codice o un comportamento dannoso che raccoglie, esfiltra o condivide dati di utenti o dispositivi non correlati alla funzionalità conforme alle norme.

Sono ritenuti spyware anche codici o comportamenti dannosi che possono essere considerati come spionaggio a danno dell'utente o che esfiltrano dati senza adeguato preavviso o consenso.

Ad esempio, le violazioni degli spyware includono, a titolo esemplificativo:

• Registrazione di audio o di chiamate ricevute sul telefono.
• Furto di dati dell'app.
• Un'app con codice dannoso di terze parti (ad esempio un SDK) che trasmette dati dal dispositivo in una modalità inaspettata per l'utente e/o senza un adeguato preavviso o consenso da parte dell'utente.

Tutte le app devono inoltre rispettare tutte le Norme del programma per gli sviluppatori di Google Play, comprese le norme relative ai dati degli utenti e dei dispositivi, ad esempio quelle relative a software mobile indesiderato, dati utente, autorizzazioni e API che accedono a informazioni sensibili e requisiti relativi all'SDK.

Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente tale, ma che esegue azioni indesiderate nei confronti dell'utente.

In genere questa classificazione è utilizzata insieme ad altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia messaggi SMS premium dal dispositivo dell'utente in background e senza che l'utente ne sia a conoscenza.

Le app nuove e meno diffuse possono essere classificate come non comuni se Google Play Protect non dispone di informazioni sufficienti per autorizzarle come app sicure. Ciò non significa che l'app è necessariamente dannosa, ma in assenza di un'ulteriore revisione non può nemmeno essere autorizzata come app sicura.

La classificazione della categoria di malware backdoor si basa sulla modalità con cui il codice agisce. Una condizione necessaria affinché un codice venga classificato come backdoor è che consenta un comportamento che, se eseguito automaticamente, determinerebbe l'inclusione del codice in una delle altre categorie di malware. Ad esempio, se un'app consente il caricamento di codice dinamico e il codice caricato dinamicamente estrae SMS, l'app verrà classificata come malware backdoor.

Tuttavia, se un'app consente l'esecuzione arbitraria di codice e non abbiamo ragione di credere che tale esecuzione sia stata aggiunta al fine di dar luogo a un comportamento malevolo, l'app verrà considerata come contenente una vulnerabilità, anziché essere definita malware backdoor, e allo sviluppatore verrà chiesto di creare una patch per l'app medesima.

Un'applicazione che utilizza una varietà di tecniche di evasione per offrire all'utente funzionalità dell'applicazione diverse o false. Queste app si mascherano da applicazioni o giochi legittimi per apparire innocue agli store e utilizzano tecniche quali l'offuscamento, il caricamento di codice dinamico o il cloaking per rivelare i contenuti dannosi.

Il maskware è simile ad altre categorie di app potenzialmente dannose, in particolare ai Trojan; la differenza principale sono le tecniche utilizzate per offuscare l'attività dannosa.