Las aplicaciones, camufladas como herramientas inofensivas, ejecutaban un motor de anuncios persistente que seguía activo incluso tras cerrar o reiniciar el dispositivo, consumiendo batería, datos móviles y reduciendo el rendimiento
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha anunciado hoy el descubrimiento de GhostAd, una campaña masiva de adware que afectó a millones de usuarios de Android a través de aplicaciones disponibles en Google Play. Estas apps, presentadas como editores de emojis y herramientas de utilidad, ocultaban un sistema publicitario persistente capaz de ejecutarse en segundo plano de manera continua, incluso después de reiniciar el dispositivo.
Durante una investigación interna de threat hunting, los analistas de Check Point Software identificaron al menos 15 aplicaciones relacionadas, cinco de ellas todavía disponibles en Google Play al inicio del análisis. Aunque la mayor parte de las víctimas se concentra en el sudeste asiático, especialmente Filipinas, Pakistán y Malasia, también se detectaron usuarios afectados en Europa, África e Israel.
Las aplicaciones alcanzaron millones de descargas y una de ellas llegó a ocupar el puesto número 2 en la lista de 'Top Free Tools' de Google Play. Durante semanas, las apps permanecieron disponibles mientras los usuarios empezaban a dejar reseñas alertando de comportamientos anómalos: anuncios emergentes constantes, ralentización del dispositivo, desaparición del icono de la aplicación al intentar desinstalarla y menor capacidad de respuesta del sistema.
Cómo funciona GhostAd: un motor publicitario persistente e invisible A diferencia del malware tradicional, GhostAd no requiere explotar vulnerabilidades: utiliza funciones legítimas del sistema Android para permanecer activo de forma continua y sin el conocimiento del usuario.
1. Persistencia mediante un servicio en primer plano Las apps registran un 'foreground service' que les permite seguir ejecutándose incluso cuando el usuario cierra la aplicación o reinicia el dispositivo. Para cumplir los requisitos de Android, muestran una notificación, pero completamente en blanco (sin título, sin mensaje, sin contexto) Solo un indicador silencioso que la mayoría de los usuarios ignora, pero que mantiene el motor publicitario funcionando sin descanso.
2. JobScheduler: un sistema que se "cura solo" Para garantizar que el servicio nunca deje de ejecutarse, las apps utilizan JobScheduler, que vuelve a activar las tareas publicitarias cada pocos segundos. Aunque Android cierre el proceso, el programador lo reinicia inmediatamente, creando un bucle de auto-recuperación difícil de detener sin conocimientos técnicos.
3. Un ciclo infinito de anuncios en segundo plano GhostAd integra SDKs publicitarios legítimos, como Pangle, Vungle, MBridge, AppLovin o BIGO, pero los utiliza de forma abusiva: en lugar de mostrar anuncios cuando el usuario interactúa, los carga y recarga sin pausa en segundo plano, generando impresiones y beneficios mientras consume recursos del dispositivo.
El resultado: batería agotada, mayor uso de datos y un teléfono más lento, incluso cuando parece estar inactivo.
"Actúa como un virus que toma el control del móvil" Las reseñas de los usuarios afectados reflejan la magnitud del problema:
"Toma el control del móvil con anuncios cada pocos segundos". "Es imposible de desinstalar, desaparece el icono, pero sigue funcionando". "Mi teléfono va lentísimo desde que lo instalé".Estas experiencias confirman que GhostAd no es solo adware: es una infraestructura oculta que se incrusta en el sistema para mantener su actividad publicitaria permanentemente.
"GhostAd demuestra como aplicaciones aparentemente legítimas pueden transformar un móvil en una granja de anuncios silenciosa, afectando al rendimiento sin necesidad de técnicas avanzadas de intrusión", señala Eusebio Nieva, director técnico de Check Point Software para España y Portugal. "La frontera entre aplicación inofensiva y amenaza real es cada vez más difusa, y los usuarios confían en que las tiendas oficiales actúen como un filtro. Campañas como esta muestran que esa confianza no siempre basta".
Impacto para los usuarios: más allá de los anuncios intrusivos Aunque GhostAd no roba credenciales ni accede a la cámara, su capacidad de persistencia lo convierte en una amenaza significativa:
Agota la batería al mantener el procesador activo de forma constante. Oculta su presencia mediante iconos fantasma y notificaciones vacías. Reduce la velocidad del dispositivo por el consumo continuo de recursos. Genera gasto involuntario de datos móviles al cargar anuncios de manera constante.Además, el análisis de Check Point Software revela algo aún más preocupante: con sus permisos actuales, las aplicaciones podrían leer o copiar documentos, capturas de pantalla, archivos corporativos exportados o datos almacenados en carpetas compartidas, y enviarlos a un servidor remoto sin que el usuario lo perciba.
Cómo protegerse Check Point Software recomienda:
Evitar apps con nombres genéricos o permisos excesivos. Revisar las valoraciones: advertencias repetidas como "actúa como un virus" son un indicio claro. Sospechar de notificaciones persistentes en blanco. Revisar periódicamente el listado de aplicaciones instaladas, incluyendo las que no muestran icono en pantalla."GhostAd es un ejemplo claro de cómo las amenazas móviles evolucionan sin necesidad de explotar vulnerabilidades. Basta con abusar de mecanismos legítimos del sistema", concluye Eusebio Nieva. "La prevención basada en visibilidad, control y análisis del comportamiento es esencial para evitar que apps aparentemente inocuas se conviertan en una puerta de acceso a riesgos mayores".
Seguir a Check Point Software a través de: LinkedIn: https://www.linkedin.com/showcase/check-point-software-espana/ X: @CheckPointSpain Facebook: https://www.facebook.com/checkpointsoftware Blog: https://blog.checkpoint.com/ YouTube: https://www.youtube.com/user/CPGlobal
Acerca de Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.
©2025 Check Point Software Technologies Ltd. Todos los derechos reservados.
