Pagination Number [Setting]

Artículos técnicos, consejos prácticos y recursos útiles para soporte, tecnología y desarrollo.

GhostAd: El Adware Fantasma que Infectó Google Play

Investigadores de ciberseguridad han descubierto una extensa campaña de adware dirigida a dispositivos Android que opera de manera sigilosa, consumiendo recursos del sistema e interrumpiendo el funcionamiento normal de los teléfonos mediante actividades persistentes en segundo plano.

Actualización importante: Tras ser notificada, Google confirmó la eliminación de todas las aplicaciones identificadas de Google Play Store. Google Play Protect, activado por defecto en dispositivos Android, desactiva automáticamente estas aplicaciones para los usuarios que las tengan instaladas.

La Amenaza Oculto en Aplicaciones Inofensivas

Durante una investigación interna, el equipo de detección móvil de Check Point Harmony identificó una red de aplicaciones de Android en Google Play que se disfrazaban como utilidades inofensivas y herramientas de edición de emojis.

Detrás de sus coloridos íconos, estas aplicaciones implementaban un motor publicitario persistente que continuaba ejecutándose incluso después de que los usuarios cerraban las aplicaciones o reiniciaban sus dispositivos, consumiendo silenciosamente batería y datos móviles.

En su punto máximo, la campaña -ahora denominada "GhostAd"- incluía al menos 15 aplicaciones relacionadas, cinco de las cuales permanecían disponibles en Google Play al inicio de la investigación. La mayoría de los usuarios afectados provenían del este y sudeste asiático, particularmente de Filipinas, Pakistán y Malasia.

Colectivamente, estas aplicaciones acumularon millones de descargas, y una de ellas incluso alcanzó el segundo puesto en la categoría "Mejores herramientas gratuitas" de Google Play.

El Funcionamiento de GhostAd

1. Persistencia mediante Servicios en Primer Plano

La persistencia de GhostAd comienza al iniciar la aplicación. Estas aplicaciones registran un servicio en primer plano que garantiza su ejecución continua, incluso si el usuario cierra la aplicación o reinicia el teléfono.

Para cumplir técnicamente con los requisitos de Android, el servicio muestra una notificación en blanco que no se puede eliminar, haciéndola técnicamente legítima pero efectivamente invisible para el usuario.

<service android:name="ForegroundAdService" android:exported="false" android:foregroundServiceType="dataSync"/>

2. JobScheduler: Motor de Anuncios con Autorecuperación

Para reforzar el servicio, las aplicaciones utilizan un programador de tareas (JobScheduler) que reactiva las tareas de carga de anuncios cada pocos segundos. Incluso si Android finaliza el servicio, el programador lo reinicia casi inmediatamente, garantizando que las solicitudes de anuncios continúen sin interrupción.

// AdJobScheduler
void scheduleAdJob(Contexto ctx) {
  JobScheduler js = (JobScheduler) ctx.getSystemService("jobscheduler");
  JobInfo job = new JobInfo.Builder(4242, new ComponentName(ctx, "AdJobService"))
    .setMinimumLatency(2500L)
    .setOverrideDeadline(5000L)
    .build();
  js.schedule(job);
}

3. El Bucle Publicitario Interminable

GhostAd integra múltiples SDK publicitarios legítimos, pero los utiliza de manera que infringe las políticas de uso legítimo. En lugar de esperar la interacción del usuario, las aplicaciones cargan, ponen en cola y actualizan anuncios continuamente en segundo plano, utilizando corrutinas de Kotlin para mantener el ciclo de forma permanente.

// we.iaadinvokeSuspend()
while (CoroutineScopeKt.isActive(coroutineScope)) {
  List<BdgtsPksjd> adList = xe.if().m(qgj.dgb.knb.aja(false)).b().m();
  if (!adList.isEmpty()) {
    kl(adList); // Procesar nuevos anuncios
  }
  DelayKt.delay(6000L, this); // Esperar 6 segundos, repetir para siempre
}

Este diseño genera silenciosamente impresiones de anuncios e ingresos, mientras consume significativos recursos del dispositivo. Para los usuarios, esto se traduce en un teléfono más caliente, menor duración de la batería y facturas de datos más altas, incluso cuando el teléfono parece estar inactivo.

La Experiencia del Usuario: "Se Apodera de tu Teléfono como un Virus"

Las reseñas de los usuarios contaron la verdadera historia. En múltiples listados, usuarios frustrados describieron cómo las aplicaciones inundaban sus teléfonos con actividad invisible e interrupciones constantes:

  • "Es la peor aplicación que he usado: vulnera mi privacidad y se apropia de otras aplicaciones para mostrar anuncios."
  • "¡No instalen esta aplicación! Les impide usar el teléfono con molestas ventanas emergentes cada 10 segundos."
  • "¡LA PEOR APLICACIÓN DE LA HISTORIA! Desaparece al intentar desinstalarla y, además, llena el teléfono de un montón de anuncios."

Estos comentarios resaltan la persistencia oculta que define la campaña GhostAd: adware que no solo muestra anuncios, sino que se incrusta profundamente en el sistema y continúa ejecutándose mucho después de que el usuario piensa que lo ha eliminado.

Impacto en los Usuarios

La campaña GhostAd provoca una interrupción notable del dispositivo, incluso sin robar datos ni mostrar un comportamiento de malware clásico. Secuestra silenciosamente los recursos del sistema para la distribución de anuncios, generando problemas de rendimiento y usabilidad reportados por usuarios reales.

Impactos principales:

  • Descarga de batería: Los servicios en primer plano persistentes y los programadores de trabajos mantienen la CPU activa indefinidamente, reduciendo significativamente la vida útil de la batería.
  • Engaño al usuario: Los íconos ocultos y las notificaciones en blanco disfrazan la presencia de las aplicaciones, dificultando su identificación y eliminación.
  • Rendimiento reducido: Los procesos en segundo plano constantes ralentizan otras aplicaciones y degradan la capacidad de respuesta general del dispositivo.

Por Qué GhostAd es Significativo

GhostAd demuestra cómo una infraestructura publicitaria legítima puede reutilizarse para crear una red de abuso a gran escala, sin necesidad de exploits sofisticados.

Al combinar servicios en primer plano, programadores de tareas y la actualización continua de anuncios, los operadores crearon una granja de anuncios invisible dentro de los teléfonos de los usuarios, generando ganancias mientras degradaban la experiencia del dispositivo. Esta campaña también subraya el desafío constante de detectar amenazas de "zona gris" en las tiendas de aplicaciones oficiales.

Cómo Protegerse

  • Evite instalar aplicaciones con nombres vagos o permisos excesivos.
  • Revise siempre las opiniones de los usuarios: si ve advertencias como "no instalar", "esta aplicación actúa como un virus" o calificaciones constantemente bajas, es mejor mantenerse alejado.
  • Tenga cuidado con las notificaciones en blanco persistentes: a menudo ocultan servicios en segundo plano.
  • Revise periódicamente Configuración → Aplicaciones para verificar si hay aplicaciones desconocidas que no aparecen en su pantalla de inicio.

Conclusión

La campaña GhostAd difumina la línea entre el marketing y el malware. Muestra cómo las herramientas publicitarias cotidianas, combinadas con técnicas de persistencia y ofuscación, pueden socavar silenciosamente la confianza de los usuarios en los ecosistemas móviles.

Millones de usuarios de Android, sin saberlo, pasaron a formar parte de una red publicitaria oculta, y sus teléfonos fueron reutilizados para generar ingresos a sus expensas.

A medida que evolucionan las amenazas móviles, también lo hacen los abusos creativos de los SDK legítimos. GhostAd nos recuerda que no todas las amenazas se esconden en la sombra; algunas se ocultan abiertamente en la tienda de aplicaciones, disfrazadas de diversión inofensiva.

Basado en la investigación del equipo de detección móvil de Harmony de Check Point, dirigido por Nir Horovitz.

No hay comentarios.:

Publicar un comentario

Nota: sólo los miembros de este blog pueden publicar comentarios.