Catégories de logiciels malveillants

Notre règlement sur les logiciels malveillants est simple : l'écosystème Android, y compris le Google Play Store, et les appareils des utilisateurs doivent être exempts de comportements malveillants (par exemple, des logiciels malveillants). Par ce principe fondamental, nous nous efforçons d'offrir un écosystème Android sûr aux utilisateurs et à leurs appareils Android.

Un logiciel malveillant est un code susceptible de faire courir un risque à l'utilisateur, à ses données ou à son appareil. Les logiciels malveillants incluent, sans s'y limiter, les applications potentiellement dangereuses, les binaires ou les modifications de framework, qui se classent en différentes catégories telles que les chevaux de Troie, l'hameçonnage et les logiciels espions. Nous mettons régulièrement à jour ces catégories et en ajoutons de nouvelles.

Même s'ils ne sont pas tous du même type et ont des fonctionnalités différentes, les logiciels malveillants ont généralement l'un des objectifs suivants:

  • Compromettre l'intégrité de l'appareil de l'utilisateur
  • prendre le contrôle de l'appareil d'un utilisateur ;
  • Permettez à un pirate informatique d'accéder à un appareil infecté, de l'utiliser ou de l'exploiter de quelque manière que ce soit.
  • Transmettre des données à caractère personnel ou des identifiants depuis l'appareil sans en informer l'utilisateur ni obtenir son autorisation
  • Diffuser du spam ou des commandes depuis l'appareil infecté pour affecter d'autres appareils ou réseaux
  • Escroquer l'utilisateur

Une application, un binaire ou une modification de framework peuvent être potentiellement dangereux et donc générer un comportement malveillant, même s'il n'était pas prévu dans ce but. En effet, les applications, les binaires ou les modifications de framework peuvent fonctionner différemment en fonction de diverses variables. Par conséquent, ce qui nuit à un appareil Android peut ne présenter aucun risque pour un autre appareil Android. Par exemple, un appareil exécutant la dernière version d'Android n'est pas affecté par les applications dangereuses qui utilisent des API obsolètes pour effectuer un comportement malveillant, mais un appareil qui exécute toujours une version très ancienne d'Android peut être en danger. Les applications, les binaires ou les modifications de framework sont signalées comme contenant des logiciels malveillants ou des PHA si elles présentent clairement un risque pour certains ou tous les appareils et utilisateurs Android.

Les catégories de logiciels malveillants ci-dessous reflètent notre conviction fondamentale que les utilisateurs doivent comprendre comment leur appareil est exploité et promouvoir un écosystème sécurisé favorisant une innovation robuste et une expérience utilisateur fiable.

Catégories de logiciels malveillants

Porte dérobée

Porte dérobée

Code permettant d'exécuter des opérations indésirables contrôlées à distance et potentiellement dangereuses sur un appareil.

Ces opérations peuvent inclure un comportement qui, s'il était exécuté automatiquement, placerait la modification de l'application, du binaire ou du framework dans l'une des autres catégories de logiciels malveillants. En général, une porte dérobée décrit la manière dont une opération potentiellement dangereuse peut se produire sur un appareil. Elle n'est donc pas entièrement alignée avec des catégories telles que la fraude à la facturation ou les logiciels espions commerciaux. Par conséquent, un sous-ensemble de portes dérobées est, dans certains cas, traité par Google Play Protect comme une faille.

Fraude à la facturation

Fraude à la facturation

Code qui facture automatiquement l'utilisateur de manière délibérément trompeuse.

La fraude à la facturation sur mobile se divise en trois catégories : fraude aux SMS, fraude aux appels et fraude aux contenus payants.

Fraude au SMS

Code qui facture aux utilisateurs l'envoi de SMS surtaxés sans leur consentement, ou qui tente de dissimuler ses activités liées aux SMS en masquant les accords de divulgation ou les SMS envoyés par l'opérateur mobile pour informer l'utilisateur des frais ou confirmer des abonnements.

Certains codes, même s'ils divulguent techniquement le comportement d'envoi de SMS, introduisent un comportement supplémentaire qui facilite la fraude au SMS. Il peut s'agir, par exemple, de masquer des parties d'un accord de divulgation à l'utilisateur, de les rendre illisibles ou de supprimer de manière conditionnelle les SMS de l'opérateur mobile pour informer l'utilisateur des frais ou confirmer un abonnement.

Fraude à l'appel

Code qui facture les utilisateurs en passant des appels vers des numéros surtaxés sans leur autorisation.

Fraude à la facturation par l'opérateur

Code qui trompe les utilisateurs afin qu'ils achètent du contenu ou s'y abonnent en étant facturés par leur opérateur mobile.

La fraude aux contenus payants inclut tous les types de facturation, à l'exception des SMS et appels surtaxés. La facturation directe par l'opérateur, le protocole d'application sans fil (WAP, Wireless Application Protocol) et le transfert de temps d'opérateur mobile en sont des exemples. La fraude WAP est l'un des types de fraude à la facturation par l'opérateur le plus répandu. La fraude WAP peut consister à inciter les utilisateurs à cliquer sur un bouton dans une WebView transparente et chargée de manière silencieuse. Une fois cette action effectuée, un abonnement récurrent est initié, et le SMS ou l'e-mail de confirmation sont souvent piratés pour empêcher les utilisateurs de remarquer la transaction financière.

Logiciel de traque

Logiciel de traque (logiciel espion commercial)

Code qui collecte et/ou transmet des données utilisateur sensibles ou à caractère personnel depuis un appareil sans en informer l'utilisateur ni obtenir le consentement adéquat, et qui n'affiche pas de notification permanente à ce sujet.

Les applications de traque ciblent les utilisateurs d'appareils en surveillant les données utilisateur sensibles ou à caractère personnel, et en transmettant ou en rendant ces données accessibles à des tiers.

Seules sont acceptées les applications exclusivement conçues et commercialisées pour permettre aux parents de suivre leurs enfants ou la gestion d'une entreprise, à condition qu'elles respectent entièrement les exigences décrites ci-dessous. Ces applications ne peuvent pas servir à suivre une autre personne (un conjoint, par exemple) même si celle-ci en est consciente et avec son autorisation, indépendamment de l'affichage ou non d'une notification persistante.

Déni de service

Déni de service (DoS)

Code qui, à l'insu de l'utilisateur, exécute une attaque par déni de service (DoS) ou fait partie d'une attaque DoS distribuée contre d'autres systèmes et ressources.

Par exemple, cela peut se produire en envoyant un grand nombre de requêtes HTTP pour produire une charge excessive sur les serveurs distants.

Programmes de téléchargement dangereux

Programmes de téléchargement dangereux

Code qui n'est pas potentiellement dangereux en soi, mais qui télécharge d'autres PHA.

Le code peut être un programme de téléchargement hostile dans les cas suivants:

  • Il y a des raisons de penser qu'elle a été créée pour propager des PHA, qu'elle en a téléchargé ou qu'elle contient du code permettant de télécharger et d'installer des applications.
  • Au moins 5% des applications téléchargées par ce programme sont des PHA avec un seuil minimal de 500 téléchargements d'applications observés (25 téléchargements de PHA observés).

Les navigateurs principaux et les applications de partage de fichiers ne sont pas considérés comme des programmes de téléchargement hostiles si:

  • Elles ne génèrent pas de téléchargements sans l'intervention de l'utilisateur.
  • Tous les téléchargements de PHA sont déclenchés par des utilisateurs ayant donné leur consentement.
Menace non liée à Android

Menace non liée à Android

Code contenant des menaces non-Android.

Ces applications ne peuvent pas nuire à l'utilisateur ni à l'appareil Android, mais contiennent des composants potentiellement dangereux pour d'autres plates-formes.

Hameçonnage

Hameçonnage

Code qui prétend provenir d'une source fiable, demande les identifiants d'authentification ou les informations de facturation d'un utilisateur et envoie les données à un tiers. Cette catégorie s'applique également au code qui intercepte la transmission des identifiants de l'utilisateur lors de son transit.

L'hameçonnage cible généralement les identifiants bancaires, les numéros de carte de crédit et les identifiants de compte en ligne utilisés pour accéder à des réseaux sociaux et à des jeux.

Élévation des privilèges

Utilisation abusive des droits élevés

Code qui compromet l'intégrité du système en brisant le bac à sable de l'application, en obtenant des droits élevés, ou en modifiant ou désactivant l'accès aux principales fonctions de sécurité

Voici quelques exemples :

  • Application qui ne respecte pas le modèle d'autorisations Android ou qui vole les identifiants (tels que les jetons OAuth) d'autres applications
  • Applications qui utilisent des fonctionnalités de manière abusive afin qu'elles ne puissent pas être désinstallées ou arrêtées
  • Application qui désactive SELinux

Les applications d'élévation des privilèges qui passent les appareils en mode root sans l'autorisation de l'utilisateur sont classées comme des applications d'activation du mode root.

rançongiciels

rançongiciels

Code qui prend le contrôle partiel ou étendu d'un appareil ou de ses données, et qui exige que l'utilisateur effectue un paiement ou une action pour libérer le contrôle.

Certains rançongiciels chiffrent les données sur l'appareil et exigent un paiement pour les déchiffrer et/ou exploitent les fonctionnalités d'administration de l'appareil afin qu'elles ne puissent pas être supprimées par un utilisateur type. Voici quelques exemples :

  • Verrouiller l'accès d'un utilisateur à son appareil et exiger de l'argent pour lui redonner le contrôle
  • Chiffrement des données sur l'appareil et demande d'un paiement, éventuellement pour les déchiffrer.
  • Exploiter les fonctionnalités du gestionnaire de règles de l'appareil et bloquer la suppression par l'utilisateur

Le code distribué avec l'appareil dont l'objectif principal est de gérer un appareil subventionné peut être exclu de la catégorie des rançongiciels s'il répond correctement aux exigences de verrouillage et de gestion sécurisés, ainsi qu'aux exigences adéquates de divulgation et de consentement de l'utilisateur.

Activation du mode root

Activation du mode root

Code permettant d'activer le mode root de l'appareil

Il existe une différence entre les codes d'activation du mode root non malveillants et malveillants. Par exemple, les applications d'activation du mode root indiquent à l'avance à l'utilisateur qu'il va lancer l'appareil en mode root et qu'elles n'exécutent pas d'autres actions potentiellement dangereuses qui s'appliquent à d'autres catégories de PHA.

Les applications d'activation du mode root malveillantes n'informent pas l'utilisateur qu'il va passer en mode root ou bien elles l'informent à l'avance, mais exécutent également d'autres actions qui s'appliquent à d'autres catégories de PHA.

Spam

Spam

Code qui envoie des messages non sollicités aux contacts de l'utilisateur ou qui utilise l'appareil comme relais de spam.


Activation du mode root

Logiciels espions

Code qui transmet des données à caractère personnel depuis l'appareil sans en informer correctement l'utilisateur ni obtenir son consentement

Par exemple, le fait de transmettre l'une des informations suivantes sans en informer l'utilisateur ou de manière inattendue pour celui-ci est suffisant pour être considéré comme un logiciel espion:

  • Liste des contacts
  • Photos ou autres fichiers stockés sur la carte SD ou n'appartenant pas à l'application
  • Contenu de l'adresse e-mail de l'utilisateur
  • Journal d'appels
  • Journal des SMS
  • Historique Web ou favoris du navigateur par défaut
  • Informations du répertoire /data/ d'autres applications.

Les comportements pouvant être considérés comme du fait d'espionner l'utilisateur peuvent également être signalés comme des logiciels espions. Par exemple, l'enregistrement audio ou l'enregistrement des appels passés au téléphone, ou le vol de données d'application.

Cheval de Troie

Cheval de Troie

Code qui semble inoffensif, comme un jeu présenté comme un simple jeu, mais qui exécute des actions indésirables à l'encontre de l'utilisateur.

Cette classification est généralement combinée à d'autres catégories de PHA. Un cheval de Troie comporte un composant inoffensif et un composant dangereux caché. Par exemple, il peut s'agir d'un jeu qui envoie des SMS premium en arrière-plan depuis l'appareil de l'utilisateur, à son insu.

Peu courant

Peu courant

Les applications rares et nouvelles peuvent être classées comme peu courantes si Google Play Protect ne dispose pas de suffisamment d'informations pour confirmer qu'elles sont sûres. Cela ne signifie pas que l'application est nécessairement dangereuse, mais sans un examen approfondi, elle ne peut pas non plus être considérée comme sûre.

logiciel de masques

Masques

Application qui utilise diverses techniques d'évasion afin de proposer à l'utilisateur des fonctionnalités d'application différentes ou factices. Ces applications se déguisent en applications ou jeux légitimes pour ne pas sembler inoffensifs pour les plates-formes de téléchargement d'applications et utilisent des techniques telles que l'obscurcissement, le chargement dynamique de code ou les techniques de dissimulation (cloaking) pour révéler du contenu malveillant.

Les logiciels Maskware sont semblables aux autres catégories de PHA, en particulier le cheval de Troie, la principale différence étant les techniques utilisées pour obscurcir l'activité malveillante.

Logiciels mobiles indésirables

Google définit les logiciels indésirables comme des applications qui ne sont pas strictement des logiciels malveillants, mais nuisent à l'écosystème logiciel. Un logiciel indésirable sur mobile (MUwS) usurpe l'identité d'autres applications ou collecte au moins l'un des éléments suivants sans le consentement de l'utilisateur:

  • Numéro de téléphone de l'appareil
  • Votre adresse e-mail principale
  • Informations sur les applications installées
  • Informations sur les comptes tiers

Les logiciels indésirables sont suivis séparément des logiciels malveillants. Pour consulter les catégories MUwS, cliquez ici.

Avertissements Google Play Protect

Lorsque Google Play Protect détecte un cas de non-respect de la règle sur les logiciels malveillants, un avertissement s'affiche à l'intention de l'utilisateur. Les chaînes d'avertissement pour chaque cas de non-respect sont disponibles sur cette page.