Nossa política contra malware é simples: o ecossistema Android, inclusive a Google Play Store, e os dispositivos do usuário não podem apresentar comportamentos maliciosos (por exemplo, malware). Com base nesse princípio fundamental, buscamos fornecer um ecossistema Android seguro para os usuários e os dispositivos Android deles.
Malware é qualquer código capaz de colocar um usuário, os dados dele ou um dispositivo em risco. O malware inclui aplicativos potencialmente nocivos (PHAs), binários ou modificações do framework que consistem em apps de cavalo de troia, phishing e spyware, entre outros. Além dessas, estamos continuamente atualizando e adicionando novas categorias.
Com diferentes tipos e recursos, o malware geralmente tem um dos seguintes objetivos:
- Comprometer a integridade do dispositivo do usuário.
- Controlar um dispositivo do usuário
- Ativar operações controladas remotamente para que um invasor acesse, use ou explore um dispositivo infectado.
- Transmitir dados pessoais ou credenciais do dispositivo sem a divulgação e o consentimento adequados.
- Enviar spam ou comandos do dispositivo infectado a outros dispositivos ou redes.
- Enganar o usuário.
Um app, binário ou uma modificação do framework podem ser nocivos e gerar um comportamento malicioso, mesmo que essa não tenha sido a intenção. Eles podem agir de diferentes maneiras, de acordo com uma série de variáveis. Portanto, o que é nocivo para um dispositivo Android pode não provocar risco algum em outro dispositivo Android. Por exemplo, um dispositivo que executa a última versão do Android não será afetado por apps nocivos que usam APIs obsoletas para realizar comportamentos maliciosos, mas um dispositivo que use uma versão muito antiga do Android pode estar em risco. Apps, binários ou modificações do framework serão sinalizados como malware ou PHA se claramente colocarem em risco vários ou todos os dispositivos e usuários do Android.
As categorias de malware abaixo refletem nossa crença fundamental de que os usuários devem entender como os dispositivos deles estão sendo usados e promover um ecossistema seguro que permita uma inovação robusta e uma experiência confiável do usuário.
Categorias de malware

Backdoors
É um código que permite a execução de operações indesejadas, potencialmente nocivas e controladas remotamente em um dispositivo.
Essas operações podem incluir comportamentos que fazem com que o app, binário ou a modificação do framework se classifique em uma categoria de malware quando a execução é automática. Em geral, o termo "backdoor" descreve como uma operação potencialmente nociva pode ocorrer em um dispositivo. Portanto, ele não se enquadra exatamente em categorias como fraude de faturamento e spyware comercial. Como resultado disso, em algumas circunstâncias, determinados acessos "backdoor" podem ser considerados uma vulnerabilidade pelo Google Play Protect.

Fraude de faturamento
É um código que cobra o usuário automaticamente de forma enganosa.
As fraudes de faturamento de dispositivos móveis estão divididas entre SMS, chamada e cobrança.
Fraude de SMS
É um código que emite cobranças pelo envio de SMS premium sem o consentimento do usuário ou que tenta encobrir a atividade de SMS ao ocultar acordos de divulgação ou mensagens SMS da operadora de telefonia móvel com notificações sobre cobranças ou confirmações de assinaturas.
Alguns tipos de código, apesar de tecnicamente exporem o envio de SMS, também apresentam um comportamento adicional que inclui fraude de SMS. Os exemplos incluem ocultar partes de um acordo de divulgação para afetar a legibilidade e bloquear intencionalmente as mensagens SMS da operadora de telefonia móvel informando o usuário sobre cobranças ou confirmando uma assinatura.
Fraude de chamada
É um código que emite cobranças ao realizar chamadas para números premium sem o consentimento do usuário.
fraude de cobrança
É um código que engana o usuário para que ele assine ou compre conteúdos pela conta do celular.
A fraude de cobrança inclui qualquer tipo de faturamento, exceto SMS e chamadas premium. Exemplos disso são o faturamento direto via operadora, o protocolo de aplicativo sem fio (WAP) e a transferência de créditos para dispositivos móveis. A fraude por WAP é um dos tipos mais comuns de fraude de cobrança. A fraude por WAP pode levar os usuários a clicar em um botão ou em um WebView transparente e carregado de forma discreta. Ao cumprir a ação, uma assinatura recorrente é iniciada, e geralmente a mensagem por e-mail ou SMS é hackeada para evitar que os usuários percebam a transação financeira.

Stalkerware
Código que coleta dados pessoais ou sensíveis do usuário de um dispositivo e os transmite a terceiros (outra empresa ou indivíduo) para monitoramento.
Os apps precisam incluir uma declaração em destaque adequada e receber consentimento conforme exigido pela política de dados do usuário.
Os únicos apps de monitoramento aceitáveis são os projetados ou comercializados exclusivamente para monitorar outro indivíduo, por exemplo, o monitoramento dos filhos pela família ou de funcionários individuais pela administração de uma empresa, desde que atendam totalmente aos requisitos descritos mais adiante neste documento. Eles não podem ser usados para monitorar outras pessoas (um cônjuge, por exemplo), mesmo com conhecimento ou permissão delas, independentemente de uma notificação contínua ser exibida. Esses apps precisam usar a flag de metadados IsMonitoringTool no arquivo de manifesto para se designarem adequadamente como apps de monitoramento.
Os apps de monitoramento precisam atender a estes requisitos:
- Eles não podem se apresentar aos usuários como soluções de vigilância secreta ou de espionagem.
- Eles não podem usar técnicas de cloaking ou ocultar o comportamento de rastreamento nem tentar enganar os usuários sobre essa funcionalidade.
- Eles precisam apresentar aos usuários uma notificação contínua sempre que estiverem em execução e ter um ícone que os identifique facilmente.
- Os apps precisam divulgar a funcionalidade de monitoramento ou rastreamento na descrição da Google Play Store.
- Os apps e as páginas "Detalhes do app" no Google Play não podem apresentar meios de ativar nem acessar funcionalidades que violem esses termos, como links a um APK não compatível hospedado fora da plataforma.
- Os apps precisam obedecer às leis aplicáveis. Você é o único responsável por determinar a legalidade do app na localidade de destino.
Consulte o artigo da Central de Ajuda sobre o uso da flag isMonitoringTool para mais informações.

Negação de serviço (DoS)
É um código que, sem o conhecimento do usuário, executa um ataque de negação de serviço (DoS) ou faz parte de um ataque de DoS distribuído contra outros sistemas e recursos.
Por exemplo, isso pode acontecer ao enviar um volume alto de solicitações HTTP para gerar um carregamento excessivo em servidores remotos.

Componentes de downloads hostis
É um código que não é potencialmente nocivo por si só, mas que faz o download de outros PHAs.
Ele pode ser um componente de downloads hostil se:
- houver razões para acreditar que ele foi criado para espalhar PHAs e que fez ou contém um código que poderia fazer o download de PHAs e instalá-los; ou
- pelo menos 5% dos downloads feitos por ele são de PHAs com um limite mínimo de 500 downloads de apps observados, ou seja, 25 downloads de PHAs observados.
Os principais navegadores e apps de compartilhamento de arquivos não serão considerados componentes de downloads hostis desde que:
- não façam downloads sem a interação do usuário; e
- todos os downloads de PHA sejam iniciados por usuários que deram consentimento.

Ameaça que não atinge o Android
É um código com ameaças que não atingem o Android.
Esses apps não causam danos ao usuário ou dispositivo Android, mas têm componentes potencialmente nocivos a outras plataformas.

Phishing
É um código que finge ser de uma fonte confiável, solicita credenciais de autenticação do usuário ou informações de faturamento e envia esses dados a terceiros. Essa categoria também se aplica a código que intercepta a transmissão de credenciais do usuário.
Alguns alvos comuns de phishing são credenciais bancárias, números de cartão de crédito e credenciais de contas on-line para redes sociais e jogos.

Abuso de privilégios elevados
É um código que compromete a integridade do sistema ao romper o sandbox do app, ter privilégios elevados ou alterar ou desabilitar o acesso a funções centrais ligadas à segurança.
Por exemplo:
- Um app que viola o modelo de permissões do Android ou rouba credenciais (como tokens OAuth) de outros apps.
- Apps que abusam de recursos para impedir que sejam desinstalados ou interrompidos.
- Um app que desativa o SELinux.
Apps com escalonamento de privilégios que dão acesso root a dispositivos sem a permissão do usuário são considerados apps de acesso root.

Ransomware
É um código que toma o controle parcial ou total de um dispositivo ou dados de um dispositivo e exige que o usuário faça um pagamento ou realize alguma ação para recuperar o controle.
Alguns tipos de ransomware criptografam dados no dispositivo e exigem o pagamento para descriptografá-los e/ou aproveitam os recursos de administração do dispositivo para que ele não possa ser removido por um usuário típico. Por exemplo:
- Bloquear um usuário do próprio dispositivo e exigir dinheiro para devolver o controle ao usuário.
- Criptografar dados no dispositivo e exigir o pagamento para descriptografar os dados.
- Aproveitar os recursos do Gerenciador de políticas do dispositivo e bloquear a remoção pelo usuário
O código distribuído com o dispositivo que tenha como objetivo principal o gerenciamento subsidiado do dispositivo pode ser excluído da categoria de ransomware, desde que cumpra com os requisitos de bloqueio e gerenciamento seguros e de divulgação e consentimento do usuário adequados.

Acesso root
É um código que faz root no dispositivo.
Há uma diferença entre códigos com acesso root maliciosos e não maliciosos. Por exemplo, apps de root permitem que o usuário saiba antecipadamente que eles farão root no dispositivo e que não executarão mais ações potencialmente nocivas que se aplicam a outras categorias de PHA.
Os apps de root maliciosos não informam o usuário que farão root no dispositivo ou informam antecipadamente, mas também executam outras ações que se aplicam a outras categorias de PHA.

Spam
É um código que envia mensagens não solicitadas aos contatos dos usuários ou usa o dispositivo para o redirecionamento de spam de e-mail.

Spyware
O spyware é um comportamento, código ou aplicativo malicioso que coleta, extrai ou compartilha dados do dispositivo ou do usuário que não têm relação com as funcionalidades que obedecem à política.
Um código ou comportamento malicioso que pode ser considerado espionagem ou extrai dados do usuário sem o devido consentimento ou aviso também é identificado como spyware.
Confira alguns exemplos de violações de spyware:
- Gravação de áudio e de chamadas telefônicas
- Roubo de dados do app
- Um app com código malicioso de terceiros (por exemplo, um SDK) que transmite dados para fora do dispositivo de maneira inesperada ao usuário e/ou sem o devido consentimento ou aviso.

Cavalo de troia
É um código que parece ser benigno, como um jogo que afirma ser só um jogo, mas que realiza ações indesejáveis contra o usuário.
Essa classificação geralmente é usada em combinação com outras categorias de PHA. Um cavalo de Troia tem um componente inofensivo e um nocivo oculto. Por exemplo, um jogo que envia mensagens SMS premium do dispositivo em segundo plano e sem o conhecimento do usuário.

Observação sobre apps incomuns
Apps novos e raros poderão ser classificados como incomuns se o Google Play Protect não tiver informações suficientes para considerá-los seguros. Isso não significa que o app é necessariamente nocivo, mas sim que é preciso uma avaliação mais profunda para que seja classificado como seguro.

Riskware
São aplicativos que utilizam diversas técnicas evasivas para disponibilizar funcionalidades diferentes ou falsas para os usuários. Esses apps se disfarçam como jogos ou aplicativos legítimos de modo a parecerem inofensivos para as app stores e os usuários, além de usarem técnicas como ofuscação, carregamento dinâmico de código ou cloaking para revelar conteúdo potencialmente prejudicial.
O riskware é semelhante a outras categorias de PHA, principalmente os cavalos de troia, e a principal diferença está nas técnicas usadas para ocultar as atividades maliciosas.
Software indesejado para dispositivos móveis (MUwS, na sigla em inglês)
O Google define software indesejado (UwS, na sigla em inglês) como apps que não são estritamente malware, mas são prejudiciais ao ecossistema de software. O software indesejado para dispositivos móveis (MUwS) se passa por outros apps ou coleta pelo menos um dos seguintes dados sem o consentimento do usuário:
- Número de telefone do dispositivo
- endereço de e-mail principal;
- Informações sobre apps instalados
- Informações sobre contas de terceiros
O MUwS é rastreado separadamente do malware. Confira as categorias do MUwS neste link.
Avisos do Google Play Protect
Quando o Google Play Protect detecta uma violação da política contra malware, um aviso é mostrado ao usuário. As strings de aviso para cada violação estão disponíveis aqui.