Chile, 5 de diciembre de 2025 Investigadores de Check Point® Software Technologies Ltd. han detectado una campaña de adware de gran escala dirigida a dispositivos Android, que consume recursos de manera silenciosa y perturba el uso normal de los teléfonos a través de una actividad persistente en segundo plano.

Pero, ¿qué es exactamente el adware? Es un tipo de software que presenta publicidad no deseada en un dispositivo, generalmente instalado sin el consentimiento del usuario al descargar aplicaciones gratuitas. Funciona como un malware al ralentizar el sistema, redirigir el navegador y, de manera más preocupante, recopilar información personal para enviarla a terceros o instalar otros virus, comprometiendo así la privacidad y la seguridad del usuario.

En una investigación interna destinada a identificar amenazas, el equipo de detección de dispositivos móviles de Check Point Harmony encontró una red de aplicaciones en Google Play que se pretendían como utilidades inofensivas y herramientas de edición de emojis.

“Detrás de sus atractivos iconos, estas aplicaciones generaban un motor publicitario persistente que continuaba en funcionamiento incluso después de que los usuarios cerraran o reiniciaran sus dispositivos, consumiendo silenciosamente batería y datos móviles”, comentó Nir Horovitz, especialista del equipo de detección móvil de Harmony.

En su apogeo, la campaña conocida como “GhostAd” incluía al menos 15 aplicaciones diferentes, cinco de las cuales seguían disponibles en Google Play al inicio de la investigación.

En conjunto, estas aplicaciones tuvieron millones de descargas, y una de ellas alcanzó el segundo lugar en la categoría de “Mejores herramientas gratuitas” en Google Play.

Pese a su amplio alcance y comportamiento intrusivo, las aplicaciones se mantuvieron disponibles en Google Play al menos desde principios de octubre, lo que provocó nuevas descargas. Los usuarios empezaron a dejar reseñas que describían problemas como anuncios emergentes persistentes, iconos que desaparecían al intentar desinstalarlas, y dispositivos que se volvían más lentos.

Tras informar a Google sobre estas aplicaciones, la compañía confirmó que todas habían sido eliminadas de Google Play Store; algunas antes de la notificación y otras como resultado directo de esta. Google Play Protect, activado por defecto en los dispositivos Android con los Servicios de Google Play, desactiva automáticamente las aplicaciones identificadas para los usuarios que las tengan instaladas, sin importar la fuente de descarga.

Cómo funciona GhostAd

1. **Ejecución persistente mediante un servicio en primer plano**

La persistencia comienza en el momento en que se inicia la aplicación. Las aplicaciones de GhostAd registran un servicio en primer plano que asegura su ejecución continua, incluso si el usuario cierra la aplicación o reinicia el teléfono. Para cumplir con los requisitos de Android, el servicio muestra una notificación en blanco e inamovible, lo que lo convierte en algo técnicamente legítimo, pero prácticamente invisible.

Todo servicio en primer plano debe mostrar una notificación, y los de GhostAd aprovechan esto al mostrar una que es constantemente vacía: solo un indicador silencioso que indica que algo está funcionando, pero el usuario no puede eliminarlo ni saber su función. Este detalle técnico convierte un requisito de seguridad en una táctica de ocultación.

2. **JobScheduler: Motor de publicidad autoreparable**

Para reforzar la persistencia, las aplicaciones utilizan un JobScheduler que reactiva las tareas de carga de anuncios cada pocos segundos. Incluso si Android termina con el servicio, el programador lo reinicia casi inmediatamente, garantizando que las solicitudes de anuncios continúen sin interrupción.

3. **El ciclo publicitario interminable**

GhostAd integra varios kits de desarrollo de software (SDK) publicitarios legítimos, tales como Pangle, Vungle, MBridge, AppLovin y BIGO, pero los utiliza de manera que infringe las políticas de uso adecuado. En lugar de esperar interacciones del usuario, las aplicaciones cargan, colocan en cola y actualizan anuncios continuamente en segundo plano, utilizando corrutinas de Kotlin para mantener el ciclo.

Experiencia del usuario: “Se apodera de tu teléfono como un virus”

Como siempre, las reseñas de los usuarios son reveladoras. En múltiples listados, usuarios frustrados describieron cómo las aplicaciones inundaban sus teléfonos con actividad invisible y constantes interrupciones: “Es la peor aplicación que he probado: interfiere con mi privacidad y toma control de otras aplicaciones para mostrar anuncios”. “¡No instalen esta aplicación! Les impedirá usar su teléfono debido a molestas ventanas emergentes cada 10 segundos”. “LA PEOR APLICACIÓN DE LA HISTORIA. Desaparece al intentar desinstalarla y, al mismo tiempo, llena el teléfono de anuncios”.

Estos comentarios reflejan la persistencia oculta que caracteriza a la campaña GhostAd: adware que no solo muestra anuncios, sino que se instala profundamente en el sistema y sigue ejecutándose después de que el usuario cree que ha desaparecido.

Impacto en los usuarios

La campaña GhostAd causa una notable interrupción en el dispositivo, incluso sin robar datos ni mostrar el típico comportamiento de malware. Sigilosamente, toma recursos del sistema para la publicación de anuncios, lo que provoca problemas de rendimiento y usabilidad que los usuarios han reportado.

Por qué es importante

GhostAd ejemplifica cómo la infraestructura publicitaria legítima puede ser reutilizada para crear una red de abuso a gran escala, sin necesidad de exploits. Al encadenar servicios en primer plano, programadores de tareas y la carga continua de anuncios, los operadores establecieron una granja de anuncios invisible dentro de los teléfonos de los usuarios, generando ingresos mientras degradaban la experiencia de uso. Esta campaña también resalta el constante desafío de detectar amenazas de zona gris en las tiendas de aplicaciones oficiales.

La aplicación detectada no necesita “exploits de hacking” para ser peligrosa; tiene todo lo necesario para convertir el teléfono de un usuario en un sifón de datos. Con acceso constante a Internet, la capacidad de ejecutarse en segundo plano tras cada reinicio y permisos para leer y escribir en el almacenamiento externo, puede escanear sistemáticamente carpetas compartidas, descargas, documentos exportados y archivos multimedia (incluyendo los de entornos corporativos) y enviarlos a un servidor remoto sin que el usuario se entere. Además de potentes permisos de publicidad y seguimiento, genera un perfil detallado del dispositivo y su propietario, vinculando la identidad entre servicios y tiendas de aplicaciones, y manteniendo una conexión duradera con un backend controlado por el atacante.

En resumen: sin acceso a SMS, contactos, ni cámara, esta aplicación “legítima” puede instalarse silenciosamente en el dispositivo de un empleado y filtrar constantemente datos sensibles copiados, descargados o sincronizados con él, proporcionando a un agente no confiable un acceso persistente y sencillo a la información de la empresa.

Cómo protegerse

La campaña GhostAd difumina la línea entre marketing y malware. Demuestra cómo las herramientas publicitarias cotidianas, combinadas con la persistencia y la ofuscación, pueden socavar silenciosamente la confianza de los usuarios en los ecosistemas móviles.

Millones de usuarios de Android, sin darse cuenta, se convirtieron en parte de una red publicitaria oculta, y sus teléfonos fueron utilizados para generar ingresos a costa de su propia experiencia. A medida que las amenazas móviles evolucionan, también lo hacen los abusos creativos de los SDK legítimos. GhostAd nos recuerda que no todas las amenazas se ocultan en las sombras; algunas se presentan abiertamente en las tiendas de aplicaciones, disfrazadas de diversión inofensiva.

El artículo original se puede encontrar en Revista Seguridad & Defensa.

Con Información de revistaseguridad.cl