Крупная кампания GhostAd: скрытая рекламная программа в Google Play истощает устройства и нарушает работу миллионов пользователей

На пике кампания, получившая название GhostAd, включала не менее 15 связанных приложений, пять из которых оставались доступны в Google Play на момент начала расследования. Основными жертвами стали пользователи из Восточной и Юго-Восточной Азии, особенно из Филиппин, Пакистана и Малайзии. В совокупности эти приложения набрали миллионы загрузок, причем одно из них достигло второй позиции в категории "Топ бесплатных инструментов" Google Play.

Несмотря на широкое распространение и навязчивое поведение, приложения оставались доступны в магазине приложений как минимум с начала октября, продолжая привлекать новых пользователей. В отзывах быстро появились жалобы на постоянные всплывающие объявления, исчезающие иконки при попытке удаления, а также замедление работы устройств.

После уведомления Google подтвердила удаление всех выявленных приложений из магазина. Некоторые были удалены до получения уведомления, другие - непосредственно в результате проверки. Google Play Protect, включенный по умолчанию на устройствах с сервисами Google, автоматически отключает обнаруженные приложения независимо от источника их установки.

Технический механизм GhostAd использует три ключевых компонента для обеспечения скрытой работы. При запуске приложения регистрируют сервис переднего плана, гарантирующий непрерывное выполнение даже после закрытия программы или перезагрузки телефона. Для соответствия требованиям Android сервис показывает пустое неизвлекаемое уведомление, технически легитимное, но фактически невидимое для пользователя.

Для усиления устойчивости приложения используют планировщик заданий JobScheduler, перезапускающий задачи загрузки рекламы каждые несколько секунд. Даже если система останавливает сервис, планировщик почти мгновенно возобновляет его работу, обеспечивая непрерывность рекламных запросов. Эти два механизма создают самовосстанавливающийся цикл, который практически невозможно остановить обычному пользователю.

Интеграция с легитимными рекламными SDK, включая Pangle, Vungle, MBridge, AppLovin и BIGO, происходит с нарушением политик допустимого использования. Вместо ожидания пользовательского взаимодействия приложения непрерывно загружают, ставят в очередь и обновляют рекламу в фоне, используя корутины Kotlin для поддержания цикла. Такая конструкция тихо генерирует показы и доход, одновременно истощая ресурсы устройства.

Пользовательский опыт ярко демонстрирует проблему. Многочисленные отзывы содержат описания того, как приложения заполняют телефоны невидимой активностью и постоянными прерываниями. Пользователи сообщают о нарушениях конфиденциальности, блокировке использования телефена назойливыми всплывающими окнами и исчезновении иконок при попытке удаления. Эти комментарии подчеркивают скрытую устойчивость, определяющую кампанию GhostAd - рекламное программное обеспечение, которое не просто показывает объявления, а глубоко внедряется в систему.

Воздействие на пользователей проявляется даже без кражи данных или классического вредоносного поведения. Тихий захват системных ресурсов для доставки рекламы приводит к проблемам с производительностью и удобством использования. Ключевые последствия включают значительный расход заряда батареи из-за постоянной работы сервисов и планировщиков, обман пользователей через скрытые иконки и пустые уведомления, а также снижение производительности из-за постоянных фоновых процессов.

GhostAd демонстрирует, как легитимная рекламная инфраструктура может быть перепрофилирована в крупномасштабную сеть злоупотреблений без использования эксплойтов. Комбинируя сервисы переднего плана, планировщики заданий и непрерывное обновление рекламы, операторы создали невидимую рекламную ферму внутри телефонов пользователей, генерируя прибыль при ухудшении пользовательского опыта. Эта кампания также подчеркивает сохраняющиеся сложности обнаружения угзон в серой зоне официальных магазинов приложений.

Приложения такого типа не требуют взлома для создания опасности - они обладают всем необходимым для превращения телефона в сифон данных. Обладая постоянным доступом к интернету, возможностью работы в фоне после каждой перезагрузки и разрешениями на чтение внешнего хранилища, они могут систематически сканировать общие папки, загрузки, экспортированные документы и медиафайлы, включая файлы из корпоративной среды. Без доступа к SMS, контактам или камере такое "легитимное" приложение может тихо сидеть на устройстве сотрудника и непрерывно передавать конфиденциальные организационные данные.

Для обеспечения безопасности эксперты рекомендуют избегать установки приложений с расплывчатыми названиями или избыточными разрешениями. Необходимо всегда проверять пользовательские отзывы, особенно содержащие предупреждения о вирусоподобном поведении или consistently низкие оценки. Следует остерегаться постоянных пустых уведомлений, часто скрывающих фоновые сервисы, и регулярно проверять список приложений в настройках на наличие незнакомых программ, отсутствующих на домашнем экране.

Кампания GhostAd размывает границу между маркетингом и вредоносным программным обеспечением. Она показывает, как повседневные рекламные инструменты в сочетании с устойчивостью и маскировкой могут подрывать доверие пользователей к мобильным экосистемам. Миллионы пользователей Android неосознанно стали частью скрытой рекламной сети, их телефоны были перепрофилированы для генерации дохода за их счет. По мере эволюции мобильных угроз креативные злоупотребления легитимными SDK напоминают, что не каждая угроза скрывается в тени - некоторые открыто сидят в магазине приложений, замаскированные под безобидные развлечения.

SHA256

• 13805e77fb44a5a5af829f13ee494b9cfc4d5c9b470d51014cd506bd40c57426
• 7185a439005033b45b48294b302973898e68d8c898003f98acc275b27948ad40
• 91eb6afb903b2155246cb64289b4c2554922e0472fb355091843e0138c91a114
• a039c862807a14482169db0db5904749b7e5d733807418430d1cc3c2e3724f96
• ebd4365923964218caa24c9f88f009aefa7f1427a20f0f02927c98285734dae5