Tietoturvayritys Check Pointin Harmony Mobile -tiimi on tuonut esiin Android-sovelluskannan, joka naamioituu hyödyllisiksi työkaluiksi, kuten emoji-muokkaussovelluksiksi, mutta toimii taustalla aggressiivisen mainosmoottorin kanssa.
GhostAd-nimellä tunnettu mainosohjelmakampanja koostui vähintään 15 keskenään liittyvästä sovelluksesta, joista osa oli edelleen saatavilla Google Play -sovelluskaupassa tutkimuksen alkaessa.
Sovellukset rasittivat laitteita jatkuvilla taustaprosesseilla, mikä johti merkittävään akun kulutukseen ja hidasti järjestelmän toimintaa. Lisäksi ne esittivät häiritseviä mainoksia, joita käyttäjien oli vaikeaa yhdistää mihinkään tiettyyn sovellukseen.
Check Pointin tutkijoiden mukaan GhostAd-kampanja erottui erityisesti siitä, että se ei käyttänyt perinteisiä haittaohjelmatekniikoita, vaan hyödynsi täysin Androidin sallimia toimintoja.
Sovellukset aktivoivat foreground-palvelun, joka piti prosessin aktiivisena esittämällä tyhjää ja käyttäjän poistettavaksi hankalaa ilmoitusta. Samalla JobScheduler herätti mainosten lataus- ja näyttötehtäviä muutaman sekunnin välein, mikä loi itseään toistavan silmukan: vaikka järjestelmä yritti sulkea prosessin, seuraava ajoitus käynnisti sen uudelleen. Tämä teki mainosmoottorista erityisen sitkeän ja vaikeasti havaittavan.
Lopputuloksena GhostAd tuotti jatkuvan, näkymättömän mainosvirran, joka kuormitti laitteen toimintaa ja kulutti tiedonsiirtoa ilman, että käyttäjä edes käytti sovellusta.
Sovellusten arvioissa Google Playssa raportoitiin jatkuvista ponnahdusikkunoista, laitteen ylikuumenemisesta sekä siitä, että sovelluksia ei voitu poistaa normaalisti.
Check Point ilmoitti havainnoistaan Googlelle, jonka jälkeen kaikki tunnistetut sovellukset poistettiin Play-kaupasta. Osa katosi jo ennen ilmoitusta.
Google on myös vahvistanut, että sen Play Protect -palvelu estää ja poistaa sovelluksia käyttäjien laitteista, mikäli ne vielä löytyvät niistä.
Check Pointin tutkijat toteavat, että GhostAd-tapaus on jälleen muistutus siitä, että myös virallisista sovelluskaupoista ladatut sovellukset voivat aiheuttaa merkittävän turvallisuusriskin.
