Notre règlement concernant les logiciels malveillants est simple : le Google Play Store et l'ensemble de l'écosystème Android doivent être dénués de tout comportement (ou logiciel) malveillant, de même que les appareils des utilisateurs. Par ce principe fondamental, nous nous efforçons d'offrir un écosystème Android sûr aux utilisateurs et à leurs appareils Android.
Le terme "logiciel malveillant" désigne tout code susceptible de faire courir un risque à l'utilisateur, à ses données ou à son appareil. Les logiciels malveillants incluent, sans s'y limiter, les applications, fichiers binaires ou modifications de framework potentiellement dangereux, qui se classent en différentes catégories telles que les chevaux de Troie, l'hameçonnage et les logiciels espions. Nous mettons régulièrement à jour ces catégories et en ajoutons de nouvelles.
Même s'ils ne sont pas tous du même type et ont des fonctionnalités diverses, les logiciels malveillants ont généralement l'un des objectifs suivants :
- Compromettre l'intégrité de l'appareil de l'utilisateur
- Prendre le contrôle de l'appareil d'un utilisateur
- Permettre l'exécution d'opérations contrôlées à distance afin qu'un pirate informatique puisse accéder à l'appareil infecté, l'utiliser ou l'exploiter de toute autre manière
- Transmettre des données à caractère personnel ou des identifiants depuis l'appareil sans en informer correctement l'utilisateur ni obtenir son autorisation
- Propager du spam ou des commandes depuis l'appareil infecté pour affecter d'autres appareils ou réseaux
- Escroquer l'utilisateur
Une application, un fichier binaire ou une modification de framework peuvent être potentiellement dangereux et donc susciter un comportement malveillant, même s'ils n'ont pas été conçus dans ce but. En effet, leur fonctionnement peut varier selon divers facteurs. Par conséquent, ce qui est dangereux pour un certain appareil Android peut être absolument inoffensif pour un autre appareil Android. Par exemple, un appareil équipé de la dernière version d'Android n'est pas affecté par les applications dangereuses qui utilisent des API obsolètes pour susciter un comportement malveillant, tandis qu'un appareil équipé d'une version très ancienne d'Android peut être vulnérable. Les applications, les fichiers binaires ou les modifications de framework sont signalés en tant que logiciels malveillants ou PHA s'ils présentent un risque évident pour certains appareils et utilisateurs Android, ou pour l'ensemble d'entre eux.
Les catégories de logiciels malveillants ci-dessous reflètent notre conviction fondamentale que les utilisateurs doivent comprendre comment leur appareil est exploité et promouvoir un écosystème sûr qui favorise une innovation forte et une expérience utilisateur fiable.
Catégories de logiciels malveillants
Portes dérobées
Code qui permet l'exécution d'opérations indésirables contrôlées à distance et potentiellement dangereuses sur l'appareil.
Ces opérations peuvent susciter un comportement qui, s'il s'exécutait automatiquement, classerait l'application, le fichier binaire ou la modification de framework dans l'une des autres catégories de logiciels malveillants. En général, le terme "backdoor" décrit la manière dont une opération potentiellement dangereuse peut s'exécuter sur un appareil. Par conséquent, il ne correspond pas à part entière à une catégorie comme la fraude à la facturation ou les logiciels espions commerciaux. C'est pourquoi Google Play Protect traite dans certains cas un sous-ensemble de backdoors comme une faille.
Fraude à la facturation
Code qui facture automatiquement l'utilisateur de manière délibérément trompeuse.
Sur mobile, la fraude à la facturation se divise en trois catégories : fraude au SMS, fraude à l'appel et fraude à la facturation par l'opérateur.
Fraude par SMS
Code qui facture les utilisateurs pour envoyer des SMS surtaxés sans leur autorisation, ou qui tente de dissimuler ses activités d'envoi de SMS en masquant les accords de divulgation ou les SMS de notification de frais ou de confirmation d'abonnement envoyés à l'utilisateur par l'opérateur mobile.
Certains types de code divulguent le fait que des SMS sont envoyés, mais ils introduisent d'autres comportements qui facilitent la fraude aux SMS. Par exemple, ils peuvent masquer certaines parties d'un accord de divulgation ou les rendre illisibles, et supprimer de manière conditionnelle les SMS de notification de frais ou de confirmation d'abonnement envoyés à l'utilisateur par l'opérateur mobile.
Fraude à l'appel
Code qui facture les utilisateurs en passant des appels vers des numéros surtaxés sans leur autorisation.
Fraude à la facturation par l'opérateur
Code qui trompe les utilisateurs afin qu'ils achètent du contenu ou s'y abonnent en étant facturés par leur opérateur mobile.
La fraude à la facturation par l'opérateur inclut tous les types de facturation autres que les SMS et appels surtaxés. Par exemple, elle peut concerner la facturation directe par l'opérateur, le protocole WAP (Wireless Application Protocol) et le transfert de crédit mobile. La fraude WAP est l'un des types de fraude à la facturation par l'opérateur les plus fréquents. Elle peut consister à tromper les utilisateurs afin qu'ils cliquent sur un bouton dans une WebView transparente chargée de manière silencieuse. Cette action déclenche la souscription d'un abonnement. Le SMS ou l'e-mail de confirmation sont souvent piratés pour que les utilisateurs ne remarquent pas la transaction financière.
Logiciels espions
Code qui recueille des données utilisateur sensibles ou à caractère personnel depuis l'appareil et les transmet à un tiers (entreprise ou personne physique) à des fins de surveillance.
Les applications doivent afficher un communiqué visible concernant l'utilisation des données et obtenir le consentement exigé par la Règle sur les données utilisateur.
Seules sont acceptées les applications exclusivement conçues et commercialisées pour la surveillance d'autrui (par exemple, pour permettre aux parents de surveiller leurs enfants ou à une entreprise de superviser ses employés), à condition de respecter entièrement les exigences décrites plus loin dans ce document. Ces applications ne peuvent pas servir à suivre l'activité d'une autre personne (un conjoint, par exemple) même si celle-ci en est consciente et avec son autorisation, indépendamment de l'affichage ou non d'une notification permanente. Ces applications de surveillance doivent présenter l'indicateur de métadonnées IsMonitoringTool dans leur fichier manifeste, afin de se déclarer comme telles.
Les applications de surveillance doivent respecter les exigences suivantes :
- Elles ne doivent pas être présentées comme des solutions d'espionnage ni de surveillance secrète.
- Elles ne doivent pas masquer ni dissimuler leur activité de surveillance, ni tenter de tromper l'utilisateur sur cette fonctionnalité.
- Elles doivent présenter une notification permanente lorsqu'elles sont exécutées, ainsi qu'une icône permettant de les identifier clairement.
- Elles doivent déclarer leurs fonctionnalités de surveillance et de suivi dans leur description sur le Google Play Store.
- Les applications (et leurs fiches sur Google Play) ne doivent fournir aucun moyen d'accéder à des fonctionnalités allant à l'encontre des présentes conditions, ni d'activer de telles fonctionnalités. Par exemple, elles ne doivent pas contenir de liens vers un APK non conforme hébergé en dehors de Google Play.
- Elles doivent se conformer à l'ensemble des lois applicables. Vous êtes seul responsable de l'évaluation de la légalité de votre application sur le marché ciblé.
Pour en savoir plus, consultez l'article du centre d'aide sur l'utilisation de l'indicateur isMonitoringTool.
Déni de service (DoS)
Code qui exécute une attaque par déni de service (DoS) ou fait partie d'une attaque DoS distribuée visant d'autres systèmes et ressources, le tout à l'insu de l'utilisateur.
Par exemple, une telle attaque peut consister à envoyer un grand nombre de requêtes HTTP de façon à imposer une charge excessive aux serveurs distants.
Programmes de téléchargement dangereux
Code qui n'est pas potentiellement dangereux en soi, mais qui télécharge d'autres PHA.
Le code peut être un programme de téléchargement dangereux dans les cas suivants :
- Il existe des raisons de croire qu'il a été créé dans le but de propager des PHA, et qu'il en a téléchargé ou qu'il contient du code pouvant télécharger et installer des applications.
- L'observation d'au moins 500 téléchargements d'applications par ce programme révèle que 5 % d'entre eux ou plus concernent des PHA (soit 25 téléchargements de PHA observés).
Les principaux navigateurs et applications de partage de fichiers ne sont pas considérés comme des programmes de téléchargement dangereux tant qu'ils remplissent les deux conditions suivantes :
- Ils ne lancent pas de téléchargements sans l'intervention de l'utilisateur.
- Les téléchargements de PHA sont exécutés à la demande et avec l'autorisation des utilisateurs.
Menace non-Android
Code qui contient des menaces non-Android.
De telles applications ne peuvent pas nuire à l'appareil Android ni à son utilisateur, mais elles incluent des composants potentiellement dangereux pour d'autres plates-formes.
Hameçonnage
Code qui donne l'impression de provenir d'une source fiable et qui demande à l'utilisateur de lui communiquer ses identifiants d'authentification ou ses informations de facturation afin de les envoyer à un tiers. Cette catégorie inclut également tout code qui intercepte les identifiants de l'utilisateur en cours de transmission.
L'hameçonnage cible généralement les identifiants bancaires, les numéros de carte de crédit et les identifiants de compte en ligne permettant d'accéder à des réseaux sociaux et à des jeux.
Utilisation abusive des droits élevés
Code qui compromet l'intégrité du système en contournant le bac à sable de l'application, en obtenant une élévation des privilèges, ou en modifiant ou désactivant l'accès aux principales fonctionnalités de sécurité.
Voici quelques exemples :
- Application qui ne respecte pas le modèle d'autorisations Android ou qui vole les identifiants (tels que les jetons OAuth) d'autres applications
- Applications qui utilisent des fonctionnalités de manière abusive afin qu'il soit impossible de les désinstaller ou de les arrêter
- Application qui désactive SELinux
Les applications d'élévation des privilèges qui passent les appareils en mode root sans l'autorisation de l'utilisateur sont classées parmi les applications d'activation du mode root.
Rançongiciels
Code qui prend le contrôle partiel ou étendu d'un appareil ou de ses données, et qui exige que l'utilisateur effectue un paiement ou une certaine action pour récupérer ce contrôle.
Certains rançongiciels chiffrent les données de l'appareil et exigent un paiement pour les déchiffrer, et/ou exploitent les fonctionnalités d'administration de l'appareil pour empêcher tout utilisateur standard de les supprimer. Voici quelques exemples :
- Verrouiller l'accès de l'utilisateur à l'appareil et exiger de l'argent pour lui redonner le contrôle
- Chiffrer les données de l'appareil et exiger un paiement, soi-disant pour les déchiffrer
- Exploiter les fonctionnalités du gestionnaire de règles de l'appareil et bloquer toute suppression par l'utilisateur
Le code distribué avec l'appareil et ayant pour principal objectif de gérer un appareil subventionné peut être exclu de la catégorie des rançongiciels, à condition qu'il remplisse correctement les exigences de verrouillage et de gestion sécurisés, et qu'il informe correctement l'utilisateur et obtienne son autorisation.
Activation du mode root
Code qui active le mode root sur l'appareil.
Il existe une différence entre les codes d'activation du mode root malveillants et non malveillants. Par exemple, les applications d'activation du mode root informent préalablement l'utilisateur qu'elles vont activer le mode root sur son appareil, et elles n'exécutent aucune opération potentiellement dangereuse correspondant à d'autres catégories de PHA.
Les applications d'activation du mode root malveillantes n'informent pas l'utilisateur avant d'activer le mode root sur l'appareil, ou bien elles l'informent, mais exécutent également des opérations qui caractérisent d'autres catégories de PHA.
Spam
Code qui envoie des messages non sollicités aux contacts de l'utilisateur ou qui se sert de l'appareil pour relayer du spam.
Logiciel espion
Un logiciel espion est une application, un code ou un comportement malveillant qui collecte, exfiltre ou partage des données sur l'utilisateur ou l'appareil sans lien avec une fonctionnalité conforme aux règles.
Les codes ou les comportements malveillants assimilables au fait d'espionner l'utilisateur ou d'exfiltrer des données sans en informer correctement l'utilisateur ni obtenir son consentement sont également considérés comme des logiciels espions.
Vous trouverez ci-dessous plusieurs exemples de violation par un logiciel espion (liste non exhaustive) :
- Enregistrement audio ou enregistrement des appels reçus sur le téléphone
- Vol des données d'une application
- Application avec du code tiers malveillant (un SDK, par exemple) transmettant des données depuis l'appareil sans que l'utilisateur s'y attende, ou sans en informer l'utilisateur ni obtenir son consentement
Cheval de Troie
Code qui semble inoffensif, par exemple parce qu'il se présente comme un simple jeu, mais qui exécute des actions indésirables à l'encontre de l'utilisateur.
Cette classification est généralement utilisée en conjonction avec d'autres catégories de PHA (application potentiellement dangereuse). Un cheval de Troie associe un composant inoffensif à un composant dangereux caché. Par exemple, il peut s'agir d'un jeu qui envoie des SMS surtaxés en arrière-plan depuis l'appareil, à l'insu de l'utilisateur.
Remarque concernant les applications inhabituelles
Les applications rares et nouvelles peuvent être classifiées comme inhabituelles si Google Play Protect ne dispose pas de suffisamment d'informations pour confirmer qu'elles sont sans danger. Cela ne signifie pas qu'elles sont nécessairement dangereuses, mais elles ne peuvent pas être considérées comme inoffensives sans un examen approfondi.
Riskware
Application qui utilise diverses techniques d'évasion afin de proposer à l'utilisateur des fonctionnalités d'application différentes ou factices. Ces applications se font passer pour des applications ou des jeux légitimes qui semblent inoffensifs pour les plates-formes de téléchargement d'applications et les utilisateurs, et utilisent des techniques comme l'obscurcissement, le chargement dynamique de code ou les techniques de dissimulation (cloaking) pour cacher du contenu potentiellement dangereux.
Les riskwares sont semblables aux autres catégories de PHA (applications potentiellement dangereuses), en particulier le cheval de Troie, la principale différence étant les techniques utilisées pour obscurcir l'activité malveillante.
Logiciels indésirables sur mobile
Google définit les logiciels indésirables comme des applications qui ne sont pas strictement des logiciels malveillants, mais qui sont nuisibles à l'écosystème logiciel. Les logiciels indésirables sur mobile se font passer pour d'autres applications ou collectent au moins l'une des informations suivantes sans le consentement de l'utilisateur :
- Numéro de téléphone de l'appareil
- Votre adresse e-mail principale
- Informations sur les applications installées
- Informations sur les comptes tiers
Les logiciels indésirables sont suivis séparément des logiciels malveillants. Pour consulter les catégories MUwS, cliquez ici.
Avertissements Google Play Protect
Lorsqu'il détecte une violation du règlement relatif aux logiciels malveillants, Google Play Protect affiche un avertissement pour l'utilisateur. Les chaînes d'avertissement pour chaque cas de non-respect sont disponibles ici.