 |
| imagem gerada por IA |
Milhões de usuários Android foram afetados por uma campanha de adware em larga escala, batizada de GhostAd, que se infiltrou no Google Play por meio de aplicativos aparentemente inofensivos. A descoberta, feita pelos pesquisadores da Check Point Research (CPR), a divisão de inteligência de ameaças da Check Point Software, revela um mecanismo de publicidade oculto que opera de forma persistente, drenando recursos do smartphone e interrompendo o uso normal do dispositivo.
A operação GhostAd utilizava apps como editores de emoji e ferramentas utilitárias para manter um motor de publicidade ativo em segundo plano, mesmo após o fechamento do aplicativo ou a reinicialização do aparelho. Esse comportamento forçado gerava impressões de anúncios de forma contínua, resultando em um impacto direto e negativo na bateria, no consumo de dados móveis e no desempenho geral dos dispositivos.
A equipe da CPR identificou pelo menos 15 aplicativos envolvidos na campanha, alguns dos quais chegaram a estar disponíveis na loja oficial do Google no início da investigação. Juntos, esses aplicativos somavam milhões de downloads, com um deles alcançando o segundo lugar na categoria “Top Free Tools” do Google Play.
A maior concentração de vítimas foi observada no Sudeste Asiático (Filipinas, Paquistão e Malásia), mas casos também foram registrados na Europa, África e Israel, refletindo o perfil de usuários que frequentemente instala aplicativos gratuitos desse tipo.
O sucesso do GhostAd residia na combinação de três mecanismos que lhe conferiam uma persistência incomum e difícil de ser interrompida por usuários comuns:
- Serviço de Primeiro Plano Ativo: Exibindo apenas uma notificação vazia para manter o processo rodando.
- JobScheduler: Configurado para reativar as tarefas de publicidade a cada poucos segundos.
- Ciclo Contínuo de Anúncios: Utilização de SDKs legítimos (como Pangle, Vungle, MBridge, AppLovin e BIGO) para carregar e atualizar anúncios incessantemente.
Essa combinação criava um sistema de AutoRecuperação que levava os usuários a perceberem impactos como lentidão, pop-ups constantes, aumento no consumo de dados, aquecimento anormal e até o desaparecimento de ícones ao tentar desinstalar o aplicativo.
Após ser notificado pela Check Point Software, o Google agiu prontamente, removendo todos os aplicativos identificados. Além disso, o Google Play Protect passou a desativar automaticamente esses aplicativos nos dispositivos onde permaneciam instalados.
A CPR alerta que o risco do GhostAd se estende ao ambiente corporativo. Aplicativos com permissões de armazenamento podem acessar arquivos sensíveis (downloads, documentos, capturas de tela). Com conectividade constante, há a possibilidade de que dados sejam examinados ou transmitidos a servidores remotos, mesmo sem a exploração de vulnerabilidades.
A descoberta do GhostAd serve como um lembrete de como infraestruturas de publicidade legítimas podem ser manipuladas para criar redes abusivas. A Check Point Research recomenda que os usuários adotem as seguintes práticas:
- Evitar a instalação de aplicativos com nomes genéricos ou que solicitem permissões exageradas.
- Consultar as avaliações de outros usuários antes de baixar.
- Verificar a presença de notificações persistentes incomuns.
- Revisar periodicamente a lista de aplicativos instalados.
A Check Point Software reforça a necessidade de soluções de segurança atualizadas e de uma vigilância mais rigorosa por parte das plataformas de distribuição para proteger os usuários contra ameaças que, como o GhostAd, confundem a fronteira entre marketing e software malicioso.
Comentários
Postar um comentário