Software malicioso

Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (es decir, software malicioso). A través de este principio fundamental, nos esforzamos por ofrecer un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.

Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:

Comprometer la integridad del dispositivo del usuario
Obtener control sobre el dispositivo de un usuario
Habilitar operaciones controladas de manera remota para que el atacante pueda acceder al dispositivo infectado, usarlo o abusar de él de otro modo
Transmitir datos personales o credenciales fuera del dispositivo sin la notificación y el consentimiento adecuados
Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
Estafar al usuario

Una app, un objeto binario o una modificación al marco de trabajo pueden ser Potencialmente Dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto sucede porque es posible que las apps, los objetos binarios o las modificaciones del marco de trabajo funcionen de manera diferente según diversas variables. Por lo tanto, lo que es perjudicial para un dispositivo Android podría no plantear ningún riesgo para otro dispositivo Android. Por ejemplo, un dispositivo que ejecuta la última versión de Android no se ve afectado por apps dañinas que usan API obsoletas para provocar un comportamiento malicioso, pero sí podría estar en riesgo un dispositivo que ejecuta una versión de Android mucho más antigua. Las apps, los objetos binarios y las modificaciones del marco de trabajo se marcan como software malicioso o APD si claramente plantean un riesgo para todos los dispositivos y usuarios de Android.

Las categorías de software malicioso que se incluyen a continuación reflejan nuestra firme convicción de que los usuarios deben comprender cómo se utilizan sus dispositivos y promover un ecosistema seguro que permita una sólida innovación y una experiencia confiable del usuario.

Visita Google Play Protect para obtener más información.

CONTRAER TODO EXPANDIR TODO

Puerta trasera

Se trata de código que permite que se ejecuten operaciones no deseadas, potencialmente dañinas y controladas de forma remota en un dispositivo.

Estas operaciones incluyen un comportamiento que colocaría a la aplicación, el objeto binario o la modificación del marco de trabajo dentro de una de las otras categorías de software malicioso en caso de que se ejecuten automáticamente. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está totalmente alineada con categorías como fraude en la facturación o software espía comercial. Como resultado, en determinadas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.

Fraude en la facturación

Se trata de código que procesa un cobro al usuario de manera intencionalmente engañosa.

El fraude en la facturación de telefonía celular se divide en fraude por SMS, fraude mediante llamadas y fraude en tarifa.

Fraude por SMS
Se trata de código que les cobra a los usuarios por el envío de SMS premium sin su consentimiento o que intenta disimular las actividades de SMS ocultando acuerdos de divulgación o mensajes SMS del operador de telefonía móvil que le notifican al usuario sobre los cargos o confirman las suscripciones.

Parte de este código, si bien técnicamente divulga el comportamiento de envío de SMS, incorpora comportamiento adicional que da lugar al fraude por SMS. Algunos ejemplos incluyen ocultarle al usuario partes de un acuerdo de divulgación, dificultar su lectura y suprimir de forma condicional mensajes SMS del operador de telefonía móvil en los que se le informa al usuario sobre los cargos o se confirma una suscripción.

Fraude mediante llamadas
Se trata de código que genera cobros a los usuarios mediante llamadas a números premium sin su consentimiento.

Fraude en tarifa
Se trata de código que engaña al usuario para que se suscriba a contenido o lo compre a través de la factura de telefonía móvil.

El fraude en tarifa incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos de esto incluyen facturación directa del proveedor, punto de acceso inalámbrico (WAP) y transferencia de tiempo de comunicación de telefonía móvil. El fraude de WAP es el tipo de fraude en tarifa más predominante. Puede incluir engaño a los usuarios para que hagan clic en un botón de una versión de WebView transparente que se carga de manera silenciosa. Cuando se realiza la acción, se inicia una suscripción recurrente y suele piratearse el correo electrónico o SMS de confirmación para impedir que los usuarios noten la transacción financiera.

Stalkerware

Se trata de código que transmite información personal desde el dispositivo sin el aviso o consentimiento adecuados, y no muestra una notificación persistente al respecto.

Las apps de stalkerware transmiten datos a un tercero que no es el proveedor de APD.

Los padres pueden usar formas aceptables de estas apps para hacer un seguimiento de sus hijos. Sin embargo, estas apps no se pueden usar para rastrear a una persona (un cónyuge, por ejemplo) sin su conocimiento ni permiso, a menos que se muestre una notificación persistente mientras se transmiten los datos.

Solo las apps que cumplen con las políticas y que se diseñan y comercializan exclusivamente para el monitoreo parental (y familiar) o la administración empresarial pueden distribuirse en Play Store con funciones de informes y seguimiento, siempre y cuando cumplan con todos los requisitos que se describen a continuación.

Las apps distribuidas en Play Store que no son de stalkerware y que supervisan el comportamiento de un usuario en un dispositivo deben cumplir con los siguientes requisitos mínimos:

No deben presentarse como una solución de espionaje ni vigilancia secreta.
Las apps no deben ocultar ni encubrir el seguimiento del comportamiento, ni intentar engañar a los usuarios sobre esa función.
Se deben presentar ante los usuarios con una notificación persistente y un ícono único que identifique claramente las apps.
Las apps y fichas que se muestran en Google Play no deben proporcionar ningún medio para activar o acceder a funcionalidades que infrinjan estos términos y condiciones, como vínculos a archivos APK alojados fuera de Google Play que no cumplan con dichos términos.
La responsabilidad de determinar la legalidad de la app en el mercado de destino recae exclusivamente sobre ti. Se quitarán aquellas apps que se consideren ilegales en los lugares donde estén publicadas.

Denegación del servicio (DoS)

Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque de DoS contra otros sistemas y recursos.

Por ejemplo, esto puede ocurrir cuando se envía una gran cantidad de solicitudes HTTP para producir una carga excesiva en servidores remotos.

Aplicaciones de descarga hostil

Se trata de código que no es potencialmente dañino en sí, pero que descarga otras APD.

El código puede ser de descarga hostil de contenido si ocurre lo siguiente:

Hay motivos para creer que se creó con el fin de extender APD y descargó APD o contiene código que podría descargar e instalar aplicaciones.
Al menos el 5% de las aplicaciones descargadas por este son APD con un umbral mínimo de 500 descargas de aplicaciones observadas (25 descargas de APD observadas).

No se considera que los navegadores ni las aplicaciones de archivos compartidos más significativos sean de descarga hostil siempre que ocurra lo siguiente:

No activan descargas sin la interacción del usuario.
Todas las descargas de APD se inician si el usuario da su consentimiento.

Amenaza no relacionada con Android

Se trata de código que contiene amenazas no relacionadas con Android.

Estas aplicaciones no pueden causar daño a los dispositivos ni usuarios de Android, pero contienen componentes potencialmente dañinos para otras plataformas.

Suplantación de identidad (phishing)

Se trata de código que pretende provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y envía la información a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de las credenciales de usuario en tránsito.

La suplantación de identidad (phishing) suele estar orientada a credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.

Abuso de privilegios altos

Se trata de código que compromete la integridad del sistema ya que rompe la zona de prueba de la aplicación, obtiene privilegios altos o cambia o inhabilita el acceso a funciones básicas relacionadas con la seguridad.

Los siguientes son algunos ejemplos:

Aplicaciones que no cumplen con el modelo de permisos de Android o que roban credenciales (p. ej., tokens de OAuth) de otras aplicaciones
Aplicaciones que abusan de las funciones para evitar que las desinstalen o las detengan
Aplicaciones que inhabilitan SELinux

Las aplicaciones de elevación de privilegios que otorgan a los dispositivos derechos de administrador sin permiso del usuario se clasifican como aplicaciones con derechos de administrador.

Ransomware

Se trata de código que toma el control parcial o extensivo de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.

Algún ransomware encripta los datos en el dispositivo y exige el pago para desencriptarlos, o bien aprovecha las funciones administrativas del dispositivo de modo que no pueda quitarlo un usuario común. Los siguientes son algunos ejemplos:

Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer su control
Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
Implementar las funciones del Administrador de políticas del dispositivo y bloquear la posibilidad de eliminación por parte del usuario

Se trata de código que se distribuye con el dispositivo y cuyo fin principal es que la administración del dispositivo subsidiado se pueda excluir de la categoría de ransomware siempre y cuando cumpla satisfactoriamente con los requisitos de administración y bloqueo seguros, y con los de consentimiento y divulgación adecuada para el usuario.

Modificación de dispositivos para obtener permisos de administrador

Se trata de código que modifica el dispositivo para tener permisos de administrador.

Hay una diferencia en el código de este tipo cuando es malicioso y no malicioso. Por ejemplo, las aplicaciones que modifican el dispositivo para tener permisos de administrador con fines no maliciosos le notifican al usuario por adelantado que harán esto y no ejecutan otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.

Las aplicaciones que modifican el dispositivo para tener permisos de administrador con fines maliciosos no le notifican al usuario que harán esto, o sí le informan por adelantado sobre el proceso pero también ejecutan otras acciones que se aplican a otras categorías de APD.

Spam

Corresponde a código que envía mensajes no solicitados a los contactos del usuario o usa el dispositivo como retransmisor de spam por correo electrónico.

Software espía

Se trata de código que transmite datos personales fuera del dispositivo sin la notificación ni el consentimiento adecuados.

Por ejemplo, la transmisión de la siguiente información que no se divulga o se presenta de manera inesperada al usuario es suficiente para que se considere como software espía:

Lista de contactos
Fotos y otros archivos que se guardan en la tarjeta SD, o que no pertenecen a la aplicación
Contenido del correo electrónico del usuario
Registro de llamadas
Registro de SMS
Historial web o favoritos del navegador predeterminado
Información de los directorios de /datos/ de otras aplicaciones.

Los comportamientos que se puedan considerar como una forma de espiar al usuario también se pueden marcar como software espía. Un ejemplo son las grabaciones de audio o de llamadas realizadas al teléfono, o el robo de datos de aplicaciones.

Troyano

Se trata de código que parece benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario.

Esta clasificación se suele usar en combinación con otras categorías de APD. Un troyano contiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía SMS premium desde el dispositivo del usuario en segundo plano y sin que el usuario lo sepa.

Una nota sobre aplicaciones poco comunes

Las aplicaciones nuevas y exóticas se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la aplicación sea necesariamente dañina, pero tampoco se puede considerar segura sin un análisis más profundo.

Una nota sobre la categoría de puerta trasera

La clasificación por categorías de software malicioso de puerta trasera depende de cómo actúa el código. Para que cualquier código se clasifique como puerta trasera, debe permitir, como condición necesaria, un comportamiento que lo colocaría en una de las otras categorías de software malicioso si se ejecutara automáticamente. Por ejemplo, si una aplicación permite la carga de un código dinámico y este extrae mensajes de texto, se clasificará como software malicioso de puerta trasera.

No obstante, si una aplicación permite la ejecución de un código arbitrario y no existe ningún motivo para creer que la ejecución de este código se agregó para producir un comportamiento malicioso, entonces la aplicación se tratará como con una vulnerabilidad, no como software malicioso de puerta trasera, y se le solicitará al desarrollador que le coloque un parche.

¿Te resultó útil esto?

¿Cómo podemos mejorarla?