Prima di procedere
Una nuova e insidiosa campagna di adware, denominata GhostAd, è stata scoperta all'interno del Google Play Store, mettendo a rischio le prestazioni di milioni di smartphone Android in tutto il mondo. La minaccia è stata individuata dai ricercatori di Check Point Software Technologies, che hanno rivelato come una serie di app apparentemente innocue celasse un motore pubblicitario persistente, capace di operare in background anche dopo la chiusura o il riavvio del dispositivo. Questo significa che, anche quando l'utente pensa di aver chiuso l'applicazione, in realtà, una parte di essa continua a lavorare silenziosamente, consumando risorse e potenzialmente compromettendo la privacy.
Le applicazioni coinvolte si presentavano come semplici strumenti di utilità quotidiana, come torce, calcolatrici o app per la modifica delle emoji. Tuttavia, una volta installate, attivavano un sistema pubblicitario nascosto, un vero e proprio motore che consumava batteria, dati mobili e potenza di calcolo del dispositivo. Al culmine della sua attività, la rete GhostAd comprendeva almeno 15 app correlate, cinque delle quali erano ancora attive e disponibili su Google Play al momento dell'indagine, pronte per essere scaricate da ignari utenti. La persistenza di queste app sullo store, nonostante i primi segnali di allarme, evidenzia la difficoltà nel rilevare e rimuovere tempestivamente tali minacce.
Secondo i ricercatori di Check Point, circa il 75% delle vittime proveniva dall'Asia orientale e sud-orientale, in particolare da paesi come le Filippine, il Pakistan e la Malesia. Un numero minore di casi è stato segnalato anche in Europa, Africa e Israele, dimostrando la portata globale di questa minaccia. La vasta diffusione geografica sottolinea l'importanza di una maggiore consapevolezza e di misure di sicurezza rafforzate per proteggere gli utenti di tutto il mondo.
La rete malevola si nascondeva dietro applicazioni che hanno riscosso un successo sorprendente, arrivando a portare una di esse al secondo posto nella categoria “Top Free Tools” del Play Store. Questo dato è particolarmente allarmante, poiché dimostra come anche le app più popolari e apparentemente affidabili possano nascondere insidie. Nonostante i primi commenti negativi degli utenti, che segnalavano rallentamenti del dispositivo, icone scomparse e popup pubblicitari incessanti, le app sono rimaste online almeno dall'inizio di ottobre, continuando a raccogliere nuovi download ogni giorno. La lentezza nella risposta da parte delle autorità competenti ha permesso alla minaccia di diffondersi ulteriormente, causando danni a un numero sempre maggiore di utenti.
Secondo Check Point, la forza di GhostAd risiede nella sua capacità di rimanere attivo anche dopo la chiusura forzata dell'app da parte dell'utente. Ogni app avvia un servizio in primo piano che garantisce l'esecuzione continua e utilizza una notifica invisibile e non rimovibile per mascherare la propria presenza. Questo accorgimento tecnico, apparentemente legittimo secondo le regole di Android, è stato sfruttato per nascondere un processo pubblicitario in continua esecuzione. In pratica, l'app crea una notifica che non viene visualizzata all'utente, ma che permette al sistema operativo di mantenere attivo il servizio in background.
A rafforzare ulteriormente la persistenza, le app utilizzano un JobScheduler che riattiva automaticamente le attività di caricamento degli annunci ogni pochi secondi. Anche se Android interrompe il servizio, lo scheduler lo riavvia immediatamente, mantenendo il ciclo pubblicitario attivo in modo costante. Questo meccanismo ingegnoso permette all'adware di aggirare i controlli del sistema operativo e di continuare a operare indisturbato, consumando risorse e generando profitti per gli operatori della rete.
In pratica, il sistema garantisce un flusso continuo di coinvolgimento pubblicitario che genera profitti per gli operatori e, allo stesso tempo, prosciuga le risorse del dispositivo dell'utente. Un aspetto particolarmente ingannevole della campagna è l'uso di SDK pubblicitari legittimi, tra cui Pangle, Vungle, MBridge, AppLovin e BIGO. GhostAd li sfrutta però in modo illecito, caricando e aggiornando gli annunci in background senza alcuna interazione dell'utente. Questo comportamento trasforma i telefoni infetti in vere e proprie “fabbriche pubblicitarie” invisibili, dove ogni secondo equivale a nuove richieste pubblicitarie e a un consumo costante di energia e dati.
L'impatto dannoso di tutto questo meccanismo in background per gli utenti si traduce in telefoni più lenti, batterie che si scaricano rapidamente e connessioni dati sempre più congestionate. Pur non rubando direttamente informazioni sensibili, GhostAd compromette l'esperienza d'uso e, in alcuni casi, può anche esporre a rischi di privacy. Secondo David Gubiani, Regional Director Security Engineering per Check Point: “Queste app non hanno bisogno di exploit di hacking per essere pericolose: bastano le loro autorizzazioni per trasformare un telefono in un sifone di dati”. I permessi concessi a queste app consentono, infatti, di leggere e scrivere file su memorie esterne, scansionare cartelle condivise, accedere a documenti esportati o in backup e, in alcuni casi, anche a file provenienti da ambienti aziendali. Questo comportamento consente a chi controlla la rete di mantenere una finestra aperta sul dispositivo e sulle informazioni che contiene, senza che l'utente ne sia consapevole.
In seguito alla segnalazione di Check Point, Google ha rimosso tutte le app identificate dal Play Store, confermando che il sistema Play Protect è in grado di disabilitare automaticamente le applicazioni pericolose anche se scaricate da fonti esterne. Tuttavia, la campagna GhostAd dimostra ancora una volta quanto sia difficile individuare le minacce che si muovono nella “zona grigia” degli app store ufficiali, sfruttando infrastrutture pubblicitarie legittime ma per scopi malevoli. Questo evidenzia la necessità di un continuo miglioramento dei sistemi di sicurezza e di un maggiore controllo sulle app presenti negli store ufficiali.
Per quanto riguarda i consigli su come proteggersi, gli esperti consigliano di evitare applicazioni con nomi generici o con richieste di permessi eccessivi, di leggere sempre con attenzione le recensioni degli utenti e di diffidare delle notifiche vuote persistenti, che spesso nascondono servizi in background. È inoltre buona norma controllare periodicamente la lista delle app installate, verificando la presenza di programmi sconosciuti o che non compaiono sulla schermata principale. Infine, mantenere il sistema operativo aggiornato riduce notevolmente le possibilità di infezione, poiché molte vulnerabilità sfruttate da questi malware sono già state corrette nelle versioni più recenti di Android. Dunque, l'invito è di aggiornare sempre il vostro dispositivo Android, anche se la release non porta con sé novità evidenti o sostanziali, perché spesso è sotto il cofano che si tengono alla larga le minacce informatiche del genere.
GhostAd rappresenta un esempio concreto della nuova generazione di minacce digitali: campagne che non mirano a rubare dati in modo diretto, ma a sfruttare la potenza dei dispositivi per generare profitti silenziosi e difficili da rilevare. Un monito per gli utenti Android e per l'intero ecosistema mobile, che si trova a fronteggiare forme di abuso sempre più sofisticate e invisibili pur di superare le difese digitali degli ecosistemi.
