Una nuova minaccia digitale ha colpito milioni di dispositivi Android in tutto il mondo: si chiama GhostAd, un adware sofisticato che si nasconde all’interno del Google Play Store camuffato da app innocue, come strumenti di utilità o pacchetti di emoji. Nonostante l’aspetto apparentemente innocuo, GhostAd opera costantemente in background, caricando annunci pubblicitari ininterrottamente e sfruttando le risorse dei dispositivi senza che l’utente ne sia consapevole.
La diffusione di questo malware è stata documentata dai ricercatori di Check Point Software Technologies, azienda specializzata in cybersecurity, che hanno rivelato il funzionamento sorprendentemente persistente e invasivo di queste app. Al culmine della sua attività, GhostAd comprendeva almeno 15 applicazioni correlate, alcune delle quali avevano raggiunto milioni di download e persino la seconda posizione nella categoria “Top Free Tools” di Google Play.
La maggior parte degli utenti infettati proviene dall’Asia orientale e sud-orientale, con particolare concentrazione nelle Filippine, in Pakistan e in Malesia, ma il malware ha raggiunto anche Europa, Israele e Africa. Gli utenti hanno segnalato rallentamenti dei dispositivi, pop-up pubblicitari intrusivi e sparizioni di icone, sintomi evidenti della presenza dell’adware.
Il funzionamento di GhostAd è particolarmente ingegnoso e pericoloso. L’adware registra un servizio in primo piano che gli consente di eseguire attività ininterrottamente, mostrando notifiche vuote che non possono essere rimosse. Inoltre, utilizza un JobScheduler per riattivare automaticamente le attività pubblicitarie ogni pochi secondi, rendendo quasi impossibile interromperne il ciclo senza interventi avanzati. Gli SDK pubblicitari integrati, come Pangle, Vungle, MBridge, AppLovin e BIGO, vengono sfruttati in modo improprio per generare un flusso continuo di annunci, consumando batteria e risorse del dispositivo in modo significativo.
David Gubiani, Regional Director Security Engineering – EMEA Southern per Check Point, ha sottolineato come GhostAd non necessiti di exploit complessi per essere pericoloso: “Basta il normale funzionamento dell’app per trasformare silenziosamente il telefono in un sifone di dati. Può accedere a Internet, funzionare dopo ogni riavvio e leggere e scrivere su memorie esterne, includendo file multimediali, documenti e chat, anche aziendali”. Dopo la segnalazione, Google ha rimosso tutte le app compromesse dal Play Store, ma l’episodio rappresenta un monito importante. Gli utenti Android devono prestare attenzione a notifiche persistenti o vuote e diffidare di app che richiedono permessi estesi senza apparente motivo. GhostAd dimostra quanto sofisticati possano essere gli adware moderni, capaci di agire in modo invisibile e sfruttare ogni risorsa del dispositivo per monetizzare attraverso la pubblicità, minacciando privacy e sicurezza.