Software malicioso

Nuestra política de Software Malicioso es simple: el ecosistema de Android, incluido Google Play Store, y los dispositivos de los usuarios deben estar libres de comportamientos maliciosos (es decir, software malicioso). A través de este principio fundamental, nos esforzamos por ofrecer un ecosistema de Android seguro para nuestros usuarios y sus dispositivos Android.

 Software malicioso es cualquier código que pudiera poner en riesgo a un usuario, sus datos o un dispositivo. Se incluyen, entre otros, Aplicaciones Potencialmente Dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y aplicaciones de software espía. (Actualizamos esta lista de manera continua con nuevas categorías).

Los requisitos de esta política también se aplican al código de terceros (por ejemplo, un SDK) que usted incluya en su aplicación.

Si bien varía en cuanto al tipo y las capacidades, el software malicioso suele tener uno de los siguientes objetivos:

  • Comprometer la integridad del dispositivo del usuario
  • Obtener control sobre el dispositivo de un usuario
  • Habilitar operaciones controladas de manera remota para que el atacante pueda acceder al dispositivo infectado, usarlo o abusar de él de otro modo
  • Transmitir datos personales o credenciales fuera del dispositivo sin la notificación y el consentimiento adecuados
  • Distribuir spam o comandos desde el dispositivo infectado para afectar a otros dispositivos o redes
  • Estafar al usuario

Una aplicación, un objeto binario o una modificación del framework pueden ser potencialmente dañinos y, por lo tanto, generar un comportamiento malicioso, aunque no estén diseñados para causar daño. Esto sucede porque es posible que las aplicaciones, los objetos binarios o las modificaciones del framework funcionen de manera diferente según diversas variables. Por lo tanto, lo que es perjudicial para un dispositivo Android podría no plantear ningún riesgo para otro dispositivo Android. Por ejemplo, un dispositivo que ejecuta la última versión de Android no se ve afectado por apps dañinas que usan API obsoletas para provocar un comportamiento malicioso, pero sí podría estar en riesgo un dispositivo que ejecuta una versión de Android mucho más antigua. Las apps, los objetos binarios y las modificaciones de framework se marcan como software malicioso o APD si claramente plantean un riesgo para todos los dispositivos y usuarios de Android.

Las categorías de software malicioso que se incluyen a continuación reflejan nuestra firme convicción de que los usuarios deben comprender cómo se utilizan sus dispositivos y promover un ecosistema seguro que permita una sólida innovación y una experiencia confiable del usuario.

Para obtener más información, visite Google Play Protect.

 

Puerta trasera

Se trata de código que permite que se ejecuten operaciones no deseadas, potencialmente dañinas y controladas de forma remota en un dispositivo.

Estas operaciones incluyen un comportamiento que colocaría a la aplicación, el objeto binario o la modificación del marco de trabajo dentro de una de las otras categorías de software malicioso en caso de que se ejecuten automáticamente. En general, la puerta trasera es una descripción de cómo puede ocurrir una operación potencialmente dañina en un dispositivo y, por lo tanto, no está totalmente alineada con categorías como fraude en la facturación o software espía comercial. Como resultado, en determinadas circunstancias, Google Play Protect trata a un subconjunto de puertas traseras como una vulnerabilidad.

 

Fraude en la facturación

Se trata de código que procesa un cobro al usuario de manera intencionalmente engañosa.

El fraude en la facturación de telefonía celular se divide en fraude por SMS, fraude mediante llamadas y fraude en tarifa.

Fraude por SMS
Se trata de código que les cobra a los usuarios por el envío de SMS premium sin su consentimiento o que intenta disimular las actividades de SMS ocultando acuerdos de divulgación o mensajes SMS del operador de telefonía móvil que le notifican al usuario sobre los cargos o confirman las suscripciones.

Parte de este código, si bien técnicamente divulga el comportamiento de envío de SMS, incorpora comportamiento adicional que da lugar al fraude por SMS. Algunos ejemplos incluyen ocultarle al usuario partes de un acuerdo de divulgación, dificultar su lectura y suprimir de forma condicional mensajes SMS del operador de telefonía móvil en los que se le informa al usuario sobre los cargos o se confirma una suscripción.

Fraude mediante llamadas
Se trata de código que genera cobros a los usuarios mediante llamadas a números premium sin su consentimiento.

Fraude en tarifa
Se trata de código que engaña al usuario para que se suscriba a contenido o lo compre a través de la factura de telefonía móvil.

El fraude en tarifa incluye cualquier tipo de facturación, excepto las llamadas y los SMS premium. Algunos ejemplos de esto incluyen facturación directa del proveedor, punto de acceso inalámbrico (WAP) y transferencia de tiempo de comunicación de telefonía móvil. El fraude de WAP es el tipo de fraude en tarifa más predominante. Puede incluir engaño a los usuarios para que hagan clic en un botón de una versión de WebView transparente que se carga de manera silenciosa. Cuando se realiza la acción, se inicia una suscripción recurrente y suele piratearse el correo electrónico o SMS de confirmación para impedir que los usuarios noten la transacción financiera.

 

Stalkerware

Código que recopila datos personales o sensibles de los usuarios de un dispositivo y los transmite a un tercero (empresa o persona física) con fines de supervisión.

Las aplicaciones deben proporcionar una divulgación destacada adecuada y obtener el consentimiento según lo exige la política de Datos del Usuario.

Lineamientos para las Aplicaciones de Supervisión

Las aplicaciones diseñadas y comercializadas exclusivamente para supervisar a otra persona, por ejemplo, para que los padres vigilen a sus hijos o los administradores empresariales supervisen a sus empleados, son las únicas aplicaciones de supervisión aceptables, siempre que satisfagan por completo los requisitos que se describen más abajo. Estas aplicaciones no se pueden usar para seguir a nadie más (por ejemplo, un cónyuge), incluso con el conocimiento y permiso de la persona, más allá de si se muestra una notificación persistente. Estas aplicaciones deben usar el parámetro de metadatos IsMonitoringTool en el archivo del manifiesto para designarse correctamente como aplicaciones de supervisión.

Las aplicaciones de supervisión deben satisfacer estos requisitos:

  • No deben presentarse como una solución de espionaje ni vigilancia secreta.
  • Las aplicaciones no deben ocultar ni encubrir el comportamiento relacionado con el seguimiento, ni intentar engañar a los usuarios sobre esa función.
  • Las aplicaciones deben presentarse ante los usuarios con una notificación persistente en todo momento mientras estén en ejecución y deben tener un ícono único que las identifique claramente.
  • Las aplicaciones deben divulgar la funcionalidad de supervisión o seguimiento en la descripción de Google Play Store.
  • Las aplicaciones y fichas que se muestran en Google Play no deben proporcionar ningún medio para activar o acceder a funcionalidades que incumplan estos términos y condiciones, como vínculos a archivos APK alojados fuera de Google Play que no satisfagan dichos términos.
  • Las aplicaciones deben satisfacer todas las leyes aplicables. La responsabilidad de determinar la legalidad de la aplicación en el mercado de destino recae exclusivamente sobre usted.
Para obtener más información, consulte el artículo del Centro de ayuda Uso del parámetro IsMonitoringTool.

 

Denegación del servicio (DoS)

Se trata de código que, sin el conocimiento del usuario, ejecuta un ataque de denegación del servicio (DoS) o es parte de un ataque de DoS contra otros sistemas y recursos.

Por ejemplo, esto puede ocurrir cuando se envía una gran cantidad de solicitudes HTTP para producir una carga excesiva en servidores remotos.

 

Aplicaciones de descarga hostil

Se trata de código que no es potencialmente dañino en sí, pero que descarga otras APD.

El código puede ser de descarga hostil de contenido si ocurre lo siguiente:

  • Hay motivos para creer que se creó con el fin de extender APD y descargó APD o contiene código que podría descargar e instalar aplicaciones.
  • Al menos el 5% de las aplicaciones descargadas por este son APD con un umbral mínimo de 500 descargas de aplicaciones observadas (25 descargas de APD observadas).

No se considera que los navegadores ni las aplicaciones de archivos compartidos más significativos sean de descarga hostil siempre que ocurra lo siguiente:

  • No activan descargas sin la interacción del usuario.
  • Todas las descargas de APD se inician si el usuario da su consentimiento.

 

Amenaza no relacionada con Android

Se trata de código que contiene amenazas no relacionadas con Android.

Estas aplicaciones no pueden causar daño a los dispositivos ni usuarios de Android, pero contienen componentes potencialmente dañinos para otras plataformas.

 

Suplantación de identidad (phishing)

Se trata de código que pretende provenir de una fuente confiable, solicita las credenciales de autenticación o los datos de facturación de un usuario y envía la información a un tercero. Esta categoría también se aplica al código que intercepta la transmisión de las credenciales de usuario en tránsito.

La suplantación de identidad (phishing) suele estar orientada a credenciales bancarias, números de tarjetas de crédito y credenciales de cuentas en línea para redes sociales y juegos.

 

Abuso de privilegios altos

Se trata de código que compromete la integridad del sistema ya que rompe la zona de prueba de la aplicación, obtiene privilegios altos o cambia o inhabilita el acceso a funciones básicas relacionadas con la seguridad.

Los siguientes son algunos ejemplos:

  • Aplicaciones que no cumplen con el modelo de permisos de Android o que roban credenciales (p. ej., tokens de OAuth) de otras aplicaciones
  • Aplicaciones que abusan de las funciones para evitar que las desinstalen o las detengan
  • Aplicaciones que inhabilitan SELinux

Las aplicaciones de elevación de privilegios que otorgan a los dispositivos derechos de administrador sin permiso del usuario se clasifican como aplicaciones con derechos de administrador.

 

Ransomware

Se trata de código que toma el control parcial o extensivo de un dispositivo o sus datos y exige que el usuario realice un pago o una acción para liberar el control.

Algún ransomware encripta los datos en el dispositivo y exige el pago para desencriptarlos, o bien aprovecha las funciones administrativas del dispositivo de modo que no pueda quitarlo un usuario común. Los siguientes son algunos ejemplos:

  • Bloquear a un usuario para que no pueda acceder al dispositivo y exigirle dinero para restablecer su control
  • Encriptar datos en el dispositivo y exigir un pago, ostensiblemente, para desencriptarlos
  • Implementar las funciones del Administrador de políticas del dispositivo y bloquear la posibilidad de eliminación por parte del usuario

Se trata de código que se distribuye con el dispositivo y cuyo fin principal es que la administración del dispositivo subsidiado se pueda excluir de la categoría de ransomware siempre y cuando cumpla satisfactoriamente con los requisitos de administración y bloqueo seguros, y con los de consentimiento y divulgación adecuada para el usuario.

 

Modificación de dispositivos para obtener permisos de administrador

Se trata de código que modifica el dispositivo para tener permisos de administrador.

Hay una diferencia en el código de este tipo cuando es malicioso y no malicioso. Por ejemplo, las aplicaciones que modifican el dispositivo para tener permisos de administrador con fines no maliciosos le notifican al usuario por adelantado que harán esto y no ejecutan otras acciones potencialmente dañinas que se apliquen a otras categorías de APD.

Las aplicaciones que modifican el dispositivo para tener permisos de administrador con fines maliciosos no le notifican al usuario que harán esto, o sí le informan por adelantado sobre el proceso pero también ejecutan otras acciones que se aplican a otras categorías de APD.

 

Spam

Corresponde a código que envía mensajes no solicitados a los contactos del usuario o usa el dispositivo como retransmisor de spam por correo electrónico.

 

Software espía

El software espía es una aplicación, un código o un comportamiento malicioso que recopila, exfiltra o comparte los datos de un usuario o dispositivo de una manera no relacionada con la funcionalidad permitida por las políticas.

También puede considerarse que un código o comportamiento malicioso constituye software espía si se puede interpretar que dicho código o comportamiento espía al usuario o exfiltra datos sin la notificación o consentimiento correspondientes.

Por ejemplo, los incumplimientos relacionados con el software espía pueden incluir, entre otros:

  • Grabaciones de audio o de llamadas realizadas al teléfono
  • Robo de datos de las aplicaciones
  • Una aplicación con código malicioso de terceros (por ejemplo, un SDK) que transmita datos hacia fuera del dispositivo de una manera que el usuario no espera o sin una notificación o el consentimiento correspondientes del usuario.

Todas las aplicaciones deben satisfacer también todas las Políticas del Programa para Desarrolladores de Google Play, incluidas las políticas de datos del usuario y del dispositivo, como las de Software no Deseado para Dispositivos Móviles, Datos del Usuario, Permisos y APIs que Acceden a Información Sensible y Requisitos de SDK.

 

Troyano

Se trata de código que parece benigno, como un juego que afirma ser solo un juego, pero que realiza acciones no deseadas contra el usuario.

Esta clasificación se suele usar en combinación con otras categorías de APD. Un troyano contiene un componente inocuo y un componente dañino oculto. Por ejemplo, un juego que envía SMS premium desde el dispositivo del usuario en segundo plano y sin que el usuario lo sepa.

 

Una nota sobre aplicaciones poco comunes

Las aplicaciones nuevas y exóticas se pueden clasificar como poco comunes si Google Play Protect no tiene suficiente información para considerarlas seguras. Esto no significa que la aplicación sea necesariamente dañina, pero tampoco se puede considerar segura sin un análisis más profundo.

 

Una nota sobre la categoría de puerta trasera

La clasificación por categorías de software malicioso de puerta trasera depende de cómo actúa el código. Para que cualquier código se clasifique como puerta trasera, debe permitir, como condición necesaria, un comportamiento que lo colocaría en una de las otras categorías de software malicioso si se ejecutara automáticamente. Por ejemplo, si una aplicación permite la carga de un código dinámico y este extrae mensajes de texto, se clasificará como software malicioso de puerta trasera.

No obstante, si una aplicación permite la ejecución de un código arbitrario y no existe ningún motivo para creer que la ejecución de este código se agregó para producir un comportamiento malicioso, entonces la aplicación se tratará como con una vulnerabilidad, no como software malicioso de puerta trasera, y se le solicitará al desarrollador que le coloque un parche.

 

Maskware

Una aplicación que usa una variedad de técnicas de evasión para presentarle al usuario funciones falsas o diferentes a las esperadas. Estas aplicaciones se hacen pasar por legítimas o por juegos con aspecto inofensivo en las tiendas de aplicaciones, y usan técnicas tales como la ofuscación, la carga de código dinámico o el encubrimiento para ocultar contenido malicioso.

El software de enmascaramiento es similar a otras categorías de APD, en especial los troyanos, y su principal diferencia son las técnicas que se usan para ofuscar la actividad maliciosa.

¿Te resultó útil esto?

¿Cómo podemos mejorarla?

¿Necesitas más ayuda?

Prueba estos próximos pasos:

Búsqueda
Borrar búsqueda
Cerrar la búsqueda
Google Apps
Menú principal