GhostAd: l'adware nascosto in Google Play che prosciuga le risorse dei dispositivi

 I ricercatori di Check Point hanno identificato una rete di applicazioni Android su Google Play che si mascheravano da innocui strumenti di utilità e modifica delle emoji.

Nascoste da allegre icone, queste app creavano un motore pubblicitario persistente in background, che continuava a funzionare anche dopo che gli utenti avevano chiuso o riavviato i propri dispositivi, consumando silenziosamente la batteria e i dati.

Al suo apice, la campagna, ora soprannominata “GhostAd”, includeva almeno 15 app correlate, cinque delle quali erano ancora disponibili su Google Play all'inizio dell’indagine. Circa il 75% degli utenti presi di mira sembra provenire dall'Asia orientale e sud-orientale, in particolare dalle Filippine, dal Pakistan e dalla Malesia, con una percentuale minore proveniente da altri paesi vicini e da Europa, Africa e Israele. Questo modello colpisce molto probabilmente gli utenti che hanno scaricato questo tipo di app “di utilità” gratuite, piuttosto che colpire secondo una scelta intenzionale da parte dell'operatore. Complessivamente, queste app hanno totalizzato milioni di download. Una di queste ha addirittura raggiunto la seconda posizione nella categoria “Top Free Tools” di Google Play.

Nonostante la loro ampia diffusione e il loro comportamento intrusivo, le app sono rimaste disponibili su Google Play almeno dall'inizio di ottobre, continuando ad attirare nuovi download. Gli utenti hanno rapidamente iniziato a lasciare recensioni che descrivevano problemi quali annunci pop-up persistenti, icone delle app che scomparivano quando si tentava di disinstallarle e dispositivi che diventavano più lenti o meno reattivi.

Dopo aver segnalato queste applicazioni a Google, l'azienda ha confermato che tutte le app identificate sono state rimosse dal Google Play Store, alcune anche prima della segnalazione di Check Point. Google Play Protect, attivo di default sui dispositivi Android con Google Play Services, disabilita automaticamente le app identificate per gli utenti che le hanno installate, indipendentemente dalla fonte di download.