GhostAd: l'adware invisibile che trasforma gli smartphone in macchine pubblicitarie

Milioni di utenti Android in Asia hanno scaricato app apparentemente innocenti che nascondevano un sofisticato malware per smartphone. La campagna GhostAd, scoperta da Check Point, ha compromesso i dispositivi attraverso 15 applicazioni mascherate da utility e modificatori di emoji, drenando batteria e risorse mentre caricavano annunci in background in modo ininterrotto, persino dopo riavvii e disinstallazioni. Questa minaccia rappresenta un esempio particolarmente insidioso di come le infrastrutture digitali comuni possano essere sfruttate per scopi malevoli.

Un’indagine approfondita ha rivelato che le app malevole utilizzavano tre meccanismi particolarmente insidiosi e sofisticati. Il primo prevedeva l’attivazione di un servizio in primo piano persistente capace di sopravvivere ai riavvii del telefono, sfruttando un requisito Android che obbliga questi servizi a mostrare una notifica. GhostAd usava proprio questo requisito di sicurezza mobile per occultarsi attraverso notifiche vuote e non rimovibili, una tattica particolarmente subdola che trasformava un meccanismo di protezione in uno strumento di occultamento.

Il secondo meccanismo si basava su uno job scheduler che riattivava il caricamento degli annunci ogni pochi secondi. Quando Android tentava di interrompere il servizio, lo scheduler lo riavviava quasi istantaneamente, creando un ciclo di autoriparazione praticamente impossibile da bloccare per un utente comune. Questo approccio dimostra una comprensione profonda dell’architettura del sistema operativo mobile e dei suoi meccanismi di gestione dei processi.

Il terzo elemento riguardava un ciclo pubblicitario senza fine. L’adware Android integrava diversi kit pubblicitari legittimi – Pangle, Vungle, MBridge, AppLovin e BIGO – utilizzandoli però in modo da violare le loro politiche di utilizzo. Invece di attendere interazioni umane, le app caricavano, accodavano e aggiornavano continuamente annunci in background tramite coroutine Kotlin, trasformando servizi legittimi in vettori di diffusione del malware.

Le conseguenze per gli utenti erano tangibili e fastidiose: consumo batteria drenato dai servizi persistenti che mantenevano la CPU attiva, performance ridotte con applicazioni più lente e poco reattive. Particolarmente frustrante era anche la scomparsa delle icone delle app nel tentativo di disinstallarle, tattica che celava la vera natura della minaccia e impediva agli utenti di identificare e rimuovere completamente il malware dai loro dispositivi.

Nonostante il comportamento aggressivo, queste applicazioni sono rimaste visibili su Google Play almeno da ottobre, continuando ad attrarre nuovi download e mettendo a rischio una base utenti sempre crescente. Gli utenti hanno iniziato a lasciare recensioni critiche parlando di pop-up pubblicitari persistenti, senza però comprendere pienamente il problema sottostante e la natura sophisticata della minaccia.

La svolta è arrivata grazie alla segnalazione di Check Point: Google ha rimosso tutte le app dallo store e Google Play Protect ha automaticamente disabilitato quelle già installate, indipendentemente dalla fonte di download. Questo intervento ha rappresentato un momento cruciale nel contenimento della minaccia su scala globale.

Secondo David Gubiani, Regional Director Security Engineering – EMEA Southern di Check Point Software Technologies, GhostAd dimostra come le infrastrutture pubblicitarie legittime possano essere trasformate in reti di abuso su larga scala senza ricorrere a exploit sofisticati. Con accesso costante a Internet e la capacità di operare in background dopo ogni riavvio, il malware smartphone poteva scandagliare sistematicamente cartelle condivise e file, inclusi documenti sensibili provenienti da ambienti aziendali.

Per difendersi da minacce analoghe, gli esperti raccomandano di evitare download di app con nomi generici o permessi eccessivi, controllare sempre le valutazioni degli utenti su Google Play, diffidare da offuscamento notifiche che non si possono rimuovere e verificare regolarmente in Impostazioni → App la presenza di applicazioni sconosciute che non compaiono nella schermata iniziale. La vigilanza costante rimane la migliore difesa contro queste sofisticate forme di adware Android.