Adware GhostAd afeta milhões de usuários

09/12/2025 mindsecblog Notícias 0

Adware GhostAd afeta milhões de usuários. Adware oculto no Google Play drena recursos e afeta milhões de usuários, segundo a Check Point.

Pesquisadores da Check Point Software descobrem uma campanha de adware em larga escala para Android que consome recursos silenciosamente e interrompe o uso normal do smartphone por meio de atividades persistentes em segundo plano

Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, identificaram uma campanha de adware em larga escala presente em múltiplos aplicativos do Google Play que afetou milhões de usuários Android.

A operação, chamada GhostAd, utilizava aplicativos aparentemente inofensivos, como editores de emoji e ferramentas utilitárias, para executar permanentemente um mecanismo de publicidade oculto, mesmo após o fechamento do aplicativo ou a reinicialização do dispositivo. Esse comportamento gerava impressões de anúncios de forma contínua, com impacto direto na bateria, no consumo de dados móveis e no desempenho geral dos aparelhos.

Durante a análise, a equipe da CPR identificou pelo menos 15 aplicativos relacionados, cinco deles ainda disponíveis na loja oficial no início da investigação. Juntos, somavam milhões de downloads, incluindo um que chegou ao segundo lugar na categoria “Top Free Tools” do Google Play. A maior concentração de vítimas estava no Sudeste Asiático, em países como Filipinas, Paquistão e Malásia, embora também tenham sido registrados casos na Europa, África e Israel. Segundo a CPR, essa distribuição reflete principalmente o perfil de usuários que tende a instalar aplicativos gratuitos desse tipo.

Após ser informado pela Check Point Software, o Google removeu todos os aplicativos identificados, sendo alguns deles retirados antes mesmo da notificação e outros após o contato dos pesquisadores. O Google Play Protect passou ainda a desativar automaticamente esses aplicativos em dispositivos nos quais permaneciam instalados, independentemente da fonte do download.

Os pesquisadores da CPR explicaram que o GhostAd combinava três mecanismos que lhe conferiam persistência incomum: um serviço de primeiro plano sempre ativo, exibindo apenas uma notificação vazia; um JobScheduler configurado para reativar tarefas de publicidade a cada poucos segundos; e um ciclo contínuo de carregamento e atualização de anúncios, baseado em SDKs legítimos como Pangle, Vungle, MBridge, AppLovin e BIGO. Em conjunto, esses elementos criavam um sistema de AutoRecuperação difícil de ser interrompido para usuários sem conhecimento técnico.

Os impactos percebidos pelos usuários incluíam celulares mais lentos, pop-ups constantes, aumento de consumo de dados, aquecimento anormal e ícones que desapareciam ao tentar desinstalar o aplicativo. Avaliações no Google Play descreviam a experiência como “invasiva”, “incontrolável” e até “semelhante a um vírus”.

Perigo no ambiente corporativo

A equipe da CPR também alerta que aplicativos desse tipo podem representar risco adicional em ambientes corporativos. Com permissões de armazenamento, eles podem acessar pastas de downloads, documentos exportados, capturas de tela e outros arquivos que, dependendo do contexto, podem incluir informações sensíveis. Com conectividade constante e capacidade de comunicação com servidores remotos, existe a possibilidade de que dados sejam examinados ou transmitidos sem que o usuário perceba, mesmo sem exploração de vulnerabilidades.

A descoberta do GhostAd demonstra como infraestruturas de publicidade legítimas podem ser manipuladas para criar redes abusivas e altamente lucrativas, explorando brechas de supervisão nas lojas oficiais de aplicativos. A CPR recomenda que usuários evitem instalar aplicativos com nomes genéricos ou permissões exageradas, consultem avaliações de outros usuários, verifiquem notificações persistentes incomuns e revisem periodicamente a lista de aplicativos instalados.

Além disso, a Check Point Software reforça a importância de se manter soluções de segurança atualizadas e destaca a necessidade de maior vigilância por parte das plataformas de distribuição.A campanha GhostAd confunde a fronteira entre marketing e malware. Ela demonstra como ferramentas de publicidade comuns, quando combinadas a mecanismos de persistência e técnicas de ofuscação, podem corroer silenciosamente a confiança do usuário nos ecossistemas móveis. À medida que as ameaças em dispositivos móveis evoluem, também avançam os usos abusivos e criativos de SDKs legítimos. O GhostAd nos lembra que nem toda ameaça se esconde nas sombras; algumas estão expostas na própria loja de aplicativos, disfarçadas como simples entretenimento.

Para detalhes mais técnicos, visite o blog da Check Point Research.