La scoperta di GhostAd da parte dei ricercatori di Check Point Software Technologies rivela una delle campagne adware più invasive degli ultimi anni. Il gruppo di applicazioni coinvolte, tutte presenti su Google Play e presentate come strumenti di utilità o modificatori di emoji, ha raggiunto milioni di download prima di essere bloccato. Le icone colorate e l’apparenza innocua nascondevano in realtà un motore pubblicitario costante, attivo anche quando le app risultavano chiuse o il dispositivo veniva riavviato. Questo comportamento ha portato a un consumo silenzioso di batteria e dati, generando rallentamenti e popup intrusivi segnalati rapidamente dagli utenti.
L’ampiezza della campagna è significativa: almeno 15 app correlate, con una di esse arrivata addirittura al secondo posto nella categoria “Top Free Tools” del Play Store. La maggior parte degli utenti colpiti proviene dall’Asia orientale e sud-orientale, in particolare da Filippine, Pakistan e Malesia, anche se segnalazioni sono arrivate anche da Europa, Africa e Israele.
Come GhostAd diventava quasi impossibile da rimuovere
Per quanto riguarda il funzionamento interno, GhostAd è stato progettato per garantire la massima persistenza sul dispositivo. Il sistema utilizzava una combinazione di tecniche che rendevano l’adware estremamente difficile da individuare o bloccare:
Servizio invisibile; l’app attivava un servizio in primo piano obbligato a mostrare una notifica. GhostAd aggirava questo vincolo mostrando un avviso vuoto, impossibile da eliminare;
Autoriparazione continua; un JobScheduler riavviava incessantemente le attività responsabili del caricamento degli annunci. Anche quando Android tentava di interrompere il servizio, questo ripartiva quasi subito;
Ciclo pubblicitario infinito; l’adware sfruttava SDK pubblicitari legittimi — come Pangle, Vungle, MBridge, AppLovin e BIGO — ma li utilizzava in modo improprio, caricando annunci in background senza sosta.
Secondo gli esperti, il risultato era un dispositivo costantemente attivo, esposto a surriscaldamenti e a un rapido degrado dell’autonomia. L’analisi condotta da David Gubiani evidenzia un ulteriore rischio: l’app, grazie ai permessi ottenuti, poteva accedere a cartelle condivise, file multimediali, documenti esportati e persino contenuti provenienti da ambienti aziendali.
Rimozione dal Play Store e attenzione ai segnali sospetti
A seguito della segnalazione, Google ha eliminato tutte le applicazioni collegate a GhostAd dal proprio store. Il caso dimostra quanto sia importante prestare attenzione a comportamenti anomali come notifiche vuote persistenti, spesso legate a servizi in background che mascherano attività indesiderate. Gli utenti possono così riconoscere segnali utili per individuare tempestivamente app potenzialmente dannose.
