I ricercatori di Check Point Software Technologies hanno identificato una rete di applicazioni Android su Google Play che si mascheravano da innocui strumenti di utilità e modifica delle emoji.
Nascoste da allegre icone, queste app creavano un motore pubblicitario persistente in background, che continuava a funzionare anche dopo che gli utenti avevano chiuso o riavviato i propri dispositivi, consumando silenziosamente la batteria e i dati.
Al suo apice, la campagna, ora soprannominata “GhostAd”, includeva almeno 15 app correlate, cinque delle quali erano ancora disponibili su Google Play all’inizio dell’indagine. Circa il 75% degli utenti presi di mira sembra provenire dall’Asia orientale e sud-orientale, in particolare dalle Filippine, dal Pakistan e dalla Malesia, con una percentuale minore proveniente da altri paesi vicini e da Europa, Africa e Israele. Questo modello colpisce molto probabilmente gli utenti che hanno scaricato questo tipo di app “di utilità” gratuite, piuttosto che colpire secondo una scelta intenzionale da parte dell’operatore. Complessivamente, queste app hanno totalizzato milioni di download. Una di queste ha addirittura raggiunto la seconda posizione nella categoria “Top Free Tools” di Google Play.
Nonostante la loro ampia diffusione e il loro comportamento intrusivo, le app sono rimaste disponibili su Google Play almeno dall’inizio di ottobre, continuando ad attirare nuovi download. Gli utenti hanno rapidamente iniziato a lasciare recensioni che descrivevano problemi quali annunci pop-up persistenti, icone delle app che scomparivano quando si tentava di disinstallarle e dispositivi che diventavano più lenti o meno reattivi.
Dopo aver segnalato queste applicazioni a Google, l’azienda ha confermato che tutte le app identificate sono state rimosse dal Google Play Store, alcune anche prima della segnalazione di Check Point. Google Play Protect, attivo di default sui dispositivi Android con Google Play Services, disabilita automaticamente le app identificate per gli utenti che le hanno installate, indipendentemente dalla fonte di download.
Come funziona GhostAd
1. Esecuzione persistente tramite servizio in primo piano
La persistenza inizia nel momento in cui l’app viene avviata. Le app GhostAd registrano un servizio in primo piano che garantisce l’esecuzione continua, anche se l’utente chiude l’app o riavvia il telefono.
Per soddisfare i requisiti di Android, il servizio visualizza una notifica vuota e non rimovibile, rendendola tecnicamente legittima ma effettivamente invisibile.
Manifest: <service android:name=“ForegroundAdService” android:exported=‘false’ android:foregroundServiceType=“dataSync”/>
Il trucco della notifica “invisibile”
Ogni servizio in primo piano Android deve visualizzare una notifica. Le app GhostAd sfruttano questa regola presentando una notifica vuota e costante, un segnaposto visivo che nasconde le loro operazioni pubblicitarie in corso. Non vi è alcun titolo, nessun messaggio, solo un indicatore silenzioso che qualcosa è in esecuzione, ma l’utente non può rimuoverlo né capire cosa fa. Questo piccolo dettaglio tecnico trasforma un requisito di sicurezza in una tattica di offuscamento.
2. JobScheduler: motore pubblicitario autoriparatore
Per rafforzare il servizio, le app utilizzano un JobScheduler che riattiva le attività di caricamento degli annunci ogni pochi secondi.
Anche se Android interrompe il servizio, lo scheduler lo riavvia quasi immediatamente, garantendo che le richieste di pubblicità continuino senza interruzioni.
// AdJobSchedulervoid scheduleAdJob(Context ctx) { JobScheduler js = (JobScheduler) ctx.getSystemService(“jobscheduler”); JobInfo job = new JobInfo.Builder(4242, new ComponentName(ctx, “AdJobService”)) .setMinimumLatency(2500L) .setOverrideDeadline(5000L) .build(); js.schedule(job);}
Questi due meccanismi combinati creano un ciclo di autoriparazione che è quasi impossibile da interrompere per un utente medio.
3. Il ciclo pubblicitario infinito
GhostAd integra diversi kit di sviluppo software (SDK) pubblicitari legittimi, tra cui Pangle, Vungle, MBridge, AppLovin e BIGO, ma li utilizza in modo tale da violare le politiche di fair use. Anziché attendere l’interazione dell’utente, le app caricano, mettono in coda e aggiornano continuamente gli annunci in background, utilizzando le coroutine Kotlin per sostenere il ciclo.
// we.i.a.a.d.invokeSuspend()while (CoroutineScopeKt.isActive(coroutineScope)) { List<BdgtsPksjd> adList = xe.i.f().m(qgj.dgb.knb.a.j.a(false)).b().m(); if (!adList.isEmpty()) { k.l(adList); // Elabora nuovi annunci } DelayKt.delay(6000L, this); // Attendi 6 secondi, ripeti all’infinito}
Questo genera silenziosamente impressioni pubblicitarie e ricavi, consumando al contempo le risorse del dispositivo. Per gli utenti, ciò significa un telefono più caldo, una durata della batteria più breve e bollette dati o consumi più elevati, anche quando il telefono sembra inattivo.
Impatto sugli utenti
La campagna GhostAd causa notevoli interruzioni nel funzionamento dei dispositivi anche senza rubare dati o mostrare il classico comportamento dei malware. Dirotta silenziosamente le risorse di sistema per la distribuzione di annunci pubblicitari, causando problemi di prestazioni e usabilità segnalati dagli utenti reali.
- Consumo della batteria: i servizi in primo piano persistenti e i programmi di pianificazione delle attività mantengono la CPU attiva a tempo indeterminato.
- Inganno agli utenti: icone nascoste e notifiche vuote mascherano la presenza delle app, rendendone difficile la rimozione.
- Prestazioni ridotte: i processi in background costanti rallentano le altre app e riducono la reattività.
GhostAd dimostra come un’infrastruttura pubblicitaria legittima possa essere riutilizzata per creare una rete di abusi su larga scala, senza bisogno di exploit. Collegando in serie servizi in primo piano, scheduler di attività e aggiornamenti continui degli annunci, gli operatori hanno creato una fattoria pubblicitaria invisibile all’interno dei telefoni degli utenti, generando profitti e compromettendo al contempo l’esperienza d’uso dei dispositivi. Questa campagna sottolinea anche la sfida continua di individuare le minacce nella zona grigia degli app store ufficiali.
“L’applicazione che abbiamo rilevato non ha bisogno di “exploit di hacking” per essere pericolosa: ha, infatti, tutto ciò che serve per trasformare silenziosamente il telefono di un utente in un sifone di dati”, afferma David Gubiani, Regional Director Security Engineering – EMEA Southern per Check Point Software Technologies. “Con un accesso costante a Internet, la possibilità di funzionare in background dopo ogni riavvio e le autorizzazioni per leggere e scrivere su memorie esterne, questa app può scansionare sistematicamente cartelle condivise, download, documenti esportati, backup e file multimediali, compresi quelli provenienti dall’ambiente aziendale, come report, PDF, log, screenshot, chat esportate, ecc.”
Oltre alle potenti autorizzazioni di pubblicità e tracciamento, l’app può creare un profilo dettagliato del dispositivo e del suo proprietario, collegare l’identità tra servizi e app store e stabilire e mantenere una connessione di lunga durata con un backend controllato dall’autore dell’attacco. In breve: senza alcun accesso a SMS, contatti o fotocamera, questa app “legittima” può rimanere silenziosamente sul dispositivo di un dipendente e divulgare continuamente dati sensibili dell’organizzazione che sono stati copiati, scaricati o sincronizzati sul dispositivo, offrendo a qualche attore non affidabile nell’ombra una finestra persistente e senza ostacoli sulle informazioni della vostra azienda.
Come proteggersi
- Evitate di installare app con nomi vaghi o autorizzazioni eccessive.
- Controllare sempre le recensioni degli utenti
- Diffidare delle notifiche vuote persistenti: spesso nascondono servizi in background.
- Controllare regolarmente le Impostazioni → App per individuare app sconosciute che non compaiono nella schermata iniziale.
