Il caso GhostAd porta alla luce una campagna di adware che sfrutta app apparentemente innocue per attivare un motore pubblicitario in grado di lavorare in background senza interruzioni. La scoperta arriva dai ricercatori di Check Point Software Technologies, che hanno ricostruito una rete di applicazioni mascherate da strumenti di utilità ed editor per emoji presenti su Google Play. Le app utilizzavano icone accattivanti per convincere gli utenti ad avviare un software che, una volta installato, avviava processi continui in grado di consumare batteria, dati e capacità di calcolo.
La campagna, successivamente battezzata GhostAd, includeva almeno quindici app collegate, con milioni di download e una diffusione particolarmente significativa in Asia orientale e sud-orientale. Parte del traffico proveniva da Filippine, Pakistan e Malesia, con distribuzione residuale in Europa, Africa e Israele. Le app sono rimaste pubblicate sullo store almeno dall’inizio di ottobre e alcune avevano raggiunto posizioni elevate nelle classifiche dei “Top Free Tools”.
Una presenza costante e difficile da individuare
Le applicazioni utilizzavano un servizio in primo piano che rimaneva attivo anche dopo la chiusura dell’app o il riavvio del dispositivo. Per rispettare i requisiti di Android, il servizio mostrava una notifica vuota e non rimovibile. Questa scelta permetteva agli sviluppatori di agire nel perimetro delle regole del sistema, mantenendo però un canale di attività continuo e poco visibile per l’utente. La notifica priva di testo non forniva indicazioni utili, con un effetto di mascheramento che rendeva complessa l’individuazione della fonte del consumo anomalo.
A rafforzare la persistenza contribuiva l’uso di un JobScheduler impostato per rilanciare il processo pubblicitario ogni pochi secondi. Anche in caso di interruzione da parte del sistema, le attività riprendevano con tempi minimi di attesa. Questa combinazione creava un modello autoregolante e resiliente, difficile da interrompere senza una rimozione manuale.
Un motore pubblicitario continuo
GhostAd integrava SDK pubblicitari pienamente legittimi, tra cui Pangle, Vungle, MBridge, AppLovin e BIGO, ma li sfruttava in modo non allineato alle loro finalità standard. Il codice prevedeva un ciclo costante di caricamento e aggiornamento degli annunci, senza aspettare interazioni da parte dell’utente. Le coroutine Kotlin alimentavano il processo, che si ripeteva a intervalli regolari, con effetti diretti sulle performance dei dispositivi.
Secondo Check Point, il risultato era un consumo significativo di batteria e dati e un surriscaldamento anomalo dei terminali, aspetti confermati dalle recensioni lasciate dagli utenti su Google Play. Molti segnalavano rallentamenti, blocchi, icone mancanti e difficoltà nella disinstallazione.
Un impatto visibile sulle performance
La campagna non includeva comportamenti tipici dei malware, come furto diretto di dati o attacchi all’integrità del dispositivo. L’effetto era comunque rilevante: GhostAd sottraeva risorse al sistema per alimentare una vera e propria infrastruttura pubblicitaria nascosta. La CPU rimaneva attiva, la batteria si esauriva più rapidamente e l’esperienza d’uso risultava compromessa.
Check Point evidenzia anche un rischio ulteriore. Le app disponevano di autorizzazioni adeguate a leggere e scrivere su memorie esterne e potevano elaborare file condivisi, backup, documenti esportati o contenuti multimediali provenienti da contesti lavorativi. Questo approccio permetteva la creazione di un profilo dettagliato dell’utente e del dispositivo, con la possibilità di mantenere connessioni durature con server remoti.
La risposta di Google
Google ha confermato la rimozione di tutte le app identificate, alcune già eliminate prima della segnalazione. Google Play Protect, attivo di default sui dispositivi Android con Play Services, disabilita automaticamente le applicazioni riconosciute come potenzialmente dannose. La funzione agisce anche quando l’app è stata installata da store alternativi, fattore che limita il rischio per gli utenti già esposti.
Come evitare app simili
Il caso GhostAd evidenzia la difficoltà nel riconoscere minacce che sfruttano funzionalità legittime del sistema operativo. Gli esperti raccomandano attenzione verso app dal nome generico o richiedenti permessi non coerenti con la loro descrizione. Le recensioni costituiscono un primo indicatore, soprattutto quando compaiono segnalazioni relative a rallentamenti o notifiche persistenti prive di contenuto. Un controllo periodico delle app installate consente inoltre di individuare software che non risultano visibili nella schermata principale.
Aiutaci a crescere: lasciaci un like :)