Le nostre norme relative al malware sono semplici: l'ecosistema Android, incluso il Google Play Store, e i dispositivi degli utenti dovrebbero essere privi di comportamenti dannosi, ad esempio malware. Sulla base di questo principio fondamentale, ci impegniamo per offrire un ecosistema Android sicuro per i nostri utenti e i loro dispositivi Android.
Si definisce malware qualsiasi codice che potrebbe mettere a rischio un dispositivo, un utente o i suoi dati. Il termine malware include, a titolo esemplificativo, applicazioni potenzialmente dannose (PHA), programmi binari o modifiche di framework, appartenenti a varie categorie, ad esempio app di spyware, phishing o trojan. L'elenco delle categorie viene completato e aggiornato continuamente da Google.
Sebbene siano diversi per tipologia e capacità, i malware in genere hanno uno dei seguenti obiettivi:
- Compromettere l'integrità del dispositivo dell'utente.
- Assumere il controllo del dispositivo dell'utente.
- Attivare operazioni controllate a distanza affinché un utente malintenzionato possa accedere, utilizzare o altrimenti sfruttare un dispositivo infetto.
- Trasmettere dati personali o credenziali dal dispositivo senza adeguata comunicazione e senza il consenso dell'utente.
- Diffondere spam o comandi dal dispositivo infetto per colpire altri dispositivi o reti.
- Defraudare l'utente.
Un'app, programma binario o modifica di framework può essere potenzialmente pericoloso e pertanto generare comportamenti dannosi, anche in modo non intenzionale. Ciò avviene perché le modifiche di framework, programmi binari o app possono dar luogo a funzionamenti diversi in base a una serie di variabili. Pertanto, ciò che è dannoso per un dispositivo Android potrebbe non porre alcun rischio per un altro. Ad esempio, un dispositivo con la versione più recente di Android non è interessato da app dannose che utilizzano API deprecate per eseguire comportamenti dannosi, ma un dispositivo con una delle prime versioni di Android potrebbe essere a rischio. Modifiche di app, programmi binari o framework vengono segnalate come malware o app potenzialmente dannose se rappresentano un rischio evidente per alcuni o per tutti i dispositivi Android e gli utenti.
Le categorie di malware indicate di seguito riflettono la nostra profonda convinzione secondo cui gli utenti dovrebbero capire come il loro dispositivo viene sfruttato e contribuire alla sicurezza di un ecosistema che garantisca innovazioni valide e un'esperienza utente affidabile.
Categorie di malware

Backdoor
Codice che consente l'esecuzione su un dispositivo di operazioni controllate a distanza, indesiderate e potenzialmente dannose.
Queste operazioni possono includere un comportamento che, se eseguito automaticamente, determinerebbe l'inclusione della modifica a framework, programmi binari o app in una delle altre categorie di malware. In generale, con il termine backdoor si descrive la modalità con cui un'operazione potenzialmente dannosa può verificarsi su un dispositivo, pertanto il termine non corrisponde esattamente a categorie quali fatturazione fraudolenta o spyware commerciale. Di conseguenza, un sottoinsieme di backdoor, in determinate circostanze, viene considerato da Google Play Protect come una vulnerabilità.

Fatturazione fraudolenta
Codice che effettua addebiti automatici agli utenti in modo intenzionalmente ingannevole.
La frode di fatturazione su dispositivi mobili può essere costituita da: frode tariffaria, SMS fraudolento o chiamata fraudolenta.
SMS fraudolento
Codice che effettua addebiti agli utenti per l'invio di SMS a pagamento senza il loro consenso o che cerca di camuffare le sue attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o che confermano gli abbonamenti.
Codice che, anche se tecnicamente comunica il comportamento di invio degli SMS, introduce un comportamento aggiuntivo che consente l'SMS fraudolento. Ecco alcuni esempi: nascondere parti di un accordo di divulgazione agli utenti o renderle illeggibili, ed eliminare in modo condizionale gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o confermano un abbonamento.
chiamata fraudolenta
Codice che effettua addebiti agli utenti chiamando numeri a pagamento senza il consenso degli utenti.
frode tariffaria
Codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.
La frode tariffaria include qualsiasi tipo di fatturazione ad eccezione di SMS e chiamate verso numerazioni a pagamento. Ecco alcuni esempi: fatturazione diretta con l'operatore, Wireless Application Protocol (WAP) e trasferimento di credito tra dispositivi mobili. La frode WAP è uno dei tipi di frode tariffaria più diffusi. che include ad esempio indurre con l'inganno gli utenti a fare clic su un pulsante in una WebView trasparente caricata in modo invisibile. Questa azione avvia un abbonamento ricorrente e l'email o l'SMS di conferma vengono spesso compromessi per evitare che gli utenti si accorgano della transazione finanziaria.

Stalkerware
Codice che raccoglie dati utente personali o sensibili da un dispositivo e li trasmette a una terza parte (un'azienda o un privato) a fini di monitoraggio.
Le app devono contenere un'informativa ben visibile adeguata e ottenere il consenso come richiesto dalle norme relative ai dati utente.
Purché soddisfino completamente i requisiti descritti più avanti in questo documento, le app progettate e commercializzate esclusivamente per il monitoraggio di un'altra persona, ad esempio per il monitoraggio dei figli da parte dei genitori o per il monitoraggio di singoli dipendenti da parte dei responsabili aziendali, sono le uniche app di monitoraggio accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche con il loro consenso e la loro autorizzazione, a prescindere dalla visualizzazione di una notifica persistente. Per poter essere classificate in modo appropriato come app di monitoraggio, queste app devono usare il flag di metadati IsMonitoringTool nel proprio file manifest.
Le app di monitoraggio devono soddisfare i seguenti requisiti:
- Le app non devono essere presentate come soluzioni per spionaggio o sorveglianza segreta.
- Le app non devono nascondere o mascherare il comportamento di monitoraggio oppure tentare di ingannare gli utenti in merito a questa funzionalità.
- Le app devono presentare agli utenti una notifica persistente per tutto il tempo in cui sono in esecuzione e un'icona univoca che le identifichi chiaramente.
- Le app devono comunicare la funzionalità di monitoraggio o tracciamento nella descrizione del Google Play Store.
- Le app e le relative schede su Google Play non devono consentire in alcun modo di attivare o accedere a funzionalità che violano i presenti termini, ad esempio link che rimandano a un APK non conforme ospitato all'esterno di Google Play.
- Le app devono rispettare tutte le leggi vigenti. È tua esclusiva responsabilità determinare la legalità della tua app nelle località di destinazione.
Per ulteriori informazioni, consulta l'articolo del Centro assistenza isMonitoringTool.

Denial of service (DoS)
Codice che, a insaputa dell'utente, esegue un attacco denial of service (DoS) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.
Ad esempio, l'attacco potrebbe consistere nell'invio di un volume elevato di richieste HTTP per sovraccaricare server remoti.

Downloader ostili
Codice che non è potenzialmente dannoso di per sé, ma che scarica altre app potenzialmente dannose.
Il codice potrebbe essere un downloader ostile se:
- Esiste motivo di ritenere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato tali app o che contenga codice che potrebbe scaricare e installare app; oppure
- Almeno il 5% delle app scaricate dal codice è costituito da app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).
I principali browser e app per la condivisione di file non sono considerati downloader ostili se:
- Non favoriscono download senza interazione dell'utente; e
- Tutti i download di app potenzialmente dannose vengono attivati da utenti consenzienti.

Minaccia non Android
Codice contenente minacce non Android.
Queste app non possono danneggiare l'utente o il dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.

Phishing
Codice che finge di provenire da una fonte affidabile, richiede le credenziali per l'autenticazione o i dati di fatturazione dell'utente e invia tali dati a una terza parte. Questa categoria si applica anche al codice che intercetta la trasmissione delle credenziali dell'utente in transito.
Tra gli obiettivi di phishing comuni, credenziali bancarie, numeri di carte di credito e credenziali di account online per social network e giochi.

Abuso di privilegi elevati
Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati o modificando o disattivando l'accesso alle funzioni principali correlate alla sicurezza.
Ecco alcuni esempi:
- Un'app che viola il modello di autorizzazioni Android o sottrae le credenziali (ad esempio, i token OAuth) da altre app.
- App che utilizzano funzionalità in modo illecito per evitare disinstallazione o arresto.
- Un'app che disattiva SELinux.
Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.

Ransomware
Codice che assume il controllo parziale o totale di un dispositivo o dei dati su un dispositivo ed esige dall'utente un pagamento o un'azione per rilasciare il controllo.
Alcuni tipi di ransomware criptano i dati sul dispositivo ed esigono un pagamento per decriptare i dati e/o sfruttano le funzionalità di amministratore del dispositivo in modo che non possa essere rimosso da un utente medio. Ecco alcuni esempi:
- Impedire all'utente di accedere al dispositivo ed esigere denaro in cambio del ripristino del controllo da parte dell'utente.
- Criptare i dati sul dispositivo ed esigere un pagamento, verosimilmente in cambio della decriptazione dei dati.
- Sfruttare le funzionalità di gestione dei criteri relativi ai dispositivi e bloccare la rimozione da parte dell'utente.
Eventuale codice distribuito con il dispositivo la cui finalità primaria sia la gestione di un dispositivo sovvenzionato può essere escluso dalla categoria del ransomware, a condizione che soddisfi i requisiti per la gestione e il blocco sicuri, nonché i requisiti di comunicazione e consenso adeguati da parte dell'utente.

Rooting
Codice che esegue il rooting del dispositivo.
C'è una differenza tra codice di rooting non dannoso e dannoso. Ad esempio, le app di rooting comunicano agli utenti in anticipo che stanno per eseguire il rooting del dispositivo e non eseguono altre azioni potenzialmente dannose collegate ad altre categorie di app potenzialmente dannose.
Le app di rooting dannoso non comunicano agli utenti che stanno per eseguire il rooting del dispositivo e non li informano anticipatamente del rooting; eseguono inoltre altre azioni collegate ad altre categorie di app potenzialmente dannose.

Spam
Codice che invia messaggi non richiesti ai contatti dell'utente o che utilizza il dispositivo per l'inoltro di spam via email.

Spyware
Lo spyware è un'applicazione, un codice o un comportamento dannoso che raccoglie, esfiltra o condivide dati di utenti o dispositivi non correlati alla funzionalità conforme alle norme.
Sono ritenuti spyware anche codici o comportamenti dannosi che possono essere considerati come spionaggio a danno dell'utente o che esfiltrano dati senza adeguato preavviso o consenso.
Ad esempio, le violazioni degli spyware includono, a titolo esemplificativo:
- Registrazione di audio o di chiamate ricevute sul telefono.
- Furto di dati dell'app.
- Un'app con codice dannoso di terze parti (ad esempio un SDK) che trasmette dati dal dispositivo in una modalità inaspettata per l'utente e/o senza un adeguato preavviso o consenso da parte dell'utente.

Trojan
Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente tale, ma che esegue azioni indesiderate nei confronti dell'utente.
In genere questa classificazione è utilizzata in combinazione con altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia messaggi SMS premium dal dispositivo dell'utente in background e all'insaputa dell'utente.

Una nota sulle app non comuni
Le app nuove e meno diffuse possono essere classificate come non comuni se Google Play Protect non dispone di informazioni sufficienti per autorizzarle come app sicure. Ciò non significa che l'app sia necessariamente dannosa, ma che in assenza di un'ulteriore revisione non può essere autorizzata come app sicura.

Riskware
Un'applicazione che utilizza una varietà di tecniche di evasione per offrire all'utente funzionalità dell'applicazione diverse o false. Queste app si mascherano da applicazioni o giochi legittimi per apparire innocue agli store e agli utenti e utilizzano tecniche quali offuscamento, caricamento di codice dinamico o cloaking per rivelare contenuti potenzialmente dannosi.
Il riskware è simile ad altre categorie di app potenzialmente dannose, in particolare ai Trojan; la differenza principale sono le tecniche utilizzate per offuscare l'attività dannosa.
Software mobile indesiderato
Google definisce software indesiderato (UwS) le app che non sono strettamente malware, ma sono dannose per l'ecosistema software. Il software indesiderato per dispositivi mobili si spaccia per altre app o raccoglie almeno uno dei seguenti dati senza il consenso dell'utente:
- Numero di telefono del dispositivo
- Indirizzo email principale
- Informazioni sulle app installate
- Informazioni sugli account di terze parti
MUwS viene monitorato separatamente dal malware. Puoi visualizzare le categorie MUwS qui.
Avvisi di Google Play Protect
Quando Google Play Protect rileva una violazione delle norme relative ai malware, viene visualizzato un avviso per l'utente. Le stringhe di avviso per ogni violazione sono disponibili qui.