Chile – 05 de diciembre de 2025 – Check Point® Software Technologies Ltd. (NA Investigadores de Check Point descubren una campaña de adware a gran escala para Android que consume recursos silenciosamente e interrumpe el uso normal del teléfono mediante actividad persistente en segundo plano.
Durante una investigación interna de búsqueda de amenazas, el equipo de detección de dispositivos móviles de Check Point Harmony identificó una red de aplicaciones de Android en Google Play que se hacían pasar por utilidades inofensivas y herramientas de edición de emojis.
Tras sus alegres iconos, estas aplicaciones creaban un motor de publicidad persistente en segundo plano que seguía activo incluso después de que los usuarios cerraran o reiniciaran sus dispositivos, consumiendo silenciosamente batería y datos móviles.
En su punto álgido, la campaña, ahora denominada «GhostAd», incluía al menos 15 aplicaciones relacionadas, cinco de las cuales aún estaban disponibles en Google Play al inicio de nuestra investigación.
En conjunto, estas aplicaciones representaron millones de descargas, y una de ellas alcanzó el segundo puesto en la categoría de «Mejores herramientas gratuitas» de Google Play.
A pesar de su amplio alcance y comportamiento intrusivo, las aplicaciones permanecieron disponibles en Google Play al menos desde principios de octubre, atrayendo nuevas descargas. Los usuarios rápidamente comenzaron a dejar comentarios que describían problemas como anuncios emergentes persistentes, íconos de aplicaciones que desaparecían al intentar desinstalarlas y dispositivos que se volvían más lentos o menos responsivos.
Actualización de Google
Tras notificar a Google sobre estas aplicaciones, la compañía confirmó que todas las aplicaciones identificadas se habían eliminado de Google Play Store, algunas antes de nuestra notificación y otras como consecuencia directa de ella. Google Play Protect, activado por defecto en dispositivos Android con los Servicios de Google Play, desactiva automáticamente las aplicaciones identificadas para los usuarios que las tengan instaladas, independientemente de la fuente de descarga.
Cómo funciona GhostAd
- Ejecución persistente mediante un servicio en primer plano
La persistencia comienza en el momento en que se inicia la aplicación. Las aplicaciones GhostAd registran un servicio en primer plano que garantiza la ejecución continua, incluso si el usuario cierra la aplicación o reinicia el teléfono.
Para cumplir con los requisitos de Android, el servicio muestra una notificación en blanco e inamovible, lo que la hace técnicamente legítima, pero prácticamente invisible.
El truco de la notificación «invisible»
Todo servicio en primer plano de Android debe mostrar una notificación. Las aplicaciones GhostAd aprovechan esta regla mostrando una notificación vacía y constante: un marcador visual que oculta sus operaciones publicitarias en curso.
Título o. Sin mensaje. Solo un indicador silencioso de que algo se está ejecutando, pero el usuario no puede eliminarlo ni saber qué hace.
Este pequeño detalle técnico convierte un requisito de seguridad en una táctica de ofuscación.
- JobScheduler: Motor de anuncios con autorreparación
Para reforzar el servicio, las aplicaciones utilizan un JobScheduler que reactiva las tareas de carga de anuncios cada pocos segundos.
Incluso si Android finaliza el servicio, el programador lo reinicia casi de inmediato, lo que garantiza que las solicitudes de anuncios continúen sin interrupción.
- El bucle publicitario sin fin
GhostAd integra varios kits de desarrollo de software (SDK) publicitarios legítimos, como Pangle, Vungle, MBridge, AppLovin y BIGO, pero los utiliza de forma que infringe las políticas de uso legítimo. En lugar de esperar la interacción del usuario, las aplicaciones cargan, ponen en cola y actualizan anuncios continuamente en segundo plano, utilizando corrutinas de Kotlin para mantener el ciclo.
Experiencia del usuario: «Se apodera de tu teléfono como un virus»
Como siempre, las reseñas de los usuarios contaron la verdad. En múltiples listados, usuarios frustrados describieron cómo las aplicaciones inundaban sus teléfonos con actividad invisible e interrupciones constantes:
“Es la peor aplicación que he usado: perturba mi privacidad y se apodera de otras aplicaciones para mostrar anuncios”.
“¡No instalen esta aplicación! Les impedirá usar su teléfono con molestas ventanas emergentes cada 10 segundos”.
“LA PEOR APLICACIÓN DE LA HISTORIA. Desaparece al intentar desinstalarla y, al mismo tiempo, inunda el teléfono con una gran cantidad de anuncios”.
Estos comentarios resaltan la persistencia oculta que define la campaña GhostAd: adware que no solo muestra anuncios, sino que se incrusta profundamente en el sistema y se ejecuta mucho después de que el usuario crea que ha desaparecido.
Experiencia: “Se apodera de tu teléfono como un virus”
Como siempre, las reseñas de los usuarios contaron la verdad. En múltiples listados, usuarios frustrados describieron cómo las aplicaciones inundaban sus teléfonos con actividad invisible e interrupciones constantes:
“Es la peor aplicación que he usado: perturba mi privacidad y se apodera de otras aplicaciones para mostrar anuncios”.
“¡No instalen esta aplicación! Les impedirá usar su teléfono con molestas ventanas emergentes cada 10 segundos”.
“LA PEOR APLICACIÓN DE LA HISTORIA. Desaparece al intentar desinstalarla, mientras inunda el teléfono con una gran cantidad de anuncios”.
Estos comentarios resaltan la persistencia oculta que define la campaña GhostAd: adware que no solo muestra anuncios, sino que se incrusta profundamente en el sistema y se ejecuta mucho después de que el usuario crea que ha desaparecido.
Impacto en los usuarios
La campaña GhostAd causa una interrupción notable del dispositivo incluso sin robar datos ni mostrar el comportamiento típico de malware.
Sigilosamente, secuestra recursos del sistema para la publicación de anuncios, lo que provoca problemas de rendimiento y usabilidad reportados por usuarios reales.
Impactos clave:
Descarga de batería: Los servicios en primer plano persistentes y los programadores de tareas mantienen la CPU activa indefinidamente, lo que reduce la duración de la batería.
Engaño al usuario: Los iconos ocultos y las notificaciones en blanco ocultan la presencia de las aplicaciones, lo que dificulta su eliminación.
Rendimiento reducido: Los procesos en segundo plano constantes ralentizan otras aplicaciones y reducen la capacidad de respuesta.
Por qué es importante
GhostAd demuestra cómo la infraestructura publicitaria legítima puede reutilizarse para crear una red de abuso a gran escala, sin necesidad de exploits.
Al encadenar servicios en primer plano, programadores de tareas y la actualización continua de anuncios, los operadores crearon una granja de anuncios invisible dentro de los teléfonos de los usuarios, generando ganancias a la vez que degradaban la experiencia del dispositivo. Esta campaña también subraya el desafío constante de detectar amenazas de zona gris en las tiendas de aplicaciones oficiales.
La aplicación que detectamos no necesita «exploits de hacking» para ser peligrosa; tiene todo lo necesario para convertir silenciosamente el teléfono de un usuario en un sifón de datos. Con acceso constante a internet, la capacidad de ejecutarse en segundo plano tras cada reinicio y permisos para leer y escribir en el almacenamiento externo, puede escanear sistemáticamente carpetas compartidas, descargas, documentos exportados, copias de seguridad y multimedia (incluidos archivos procedentes del entorno corporativo, como informes, PDF, registros, capturas de pantalla, chats exportados, etc.) y exfiltrarlos a un servidor remoto sin que el usuario lo note. Además de potentes permisos de publicidad y seguimiento, puede crear un perfil detallado del dispositivo y su propietario, vincular la identidad entre servicios y tiendas de aplicaciones, y establecer y mantener una conexión duradera con un backend controlado por el atacante. En resumen: sin acceso a SMS, contactos ni cámara, esta aplicación «legítima» puede instalarse silenciosamente en el dispositivo de un empleado y filtrar continuamente datos confidenciales de la organización copiados, descargados o sincronizados con él, lo que ofrece a un agente no confiable una ventana persistente y fácil de acceder a la información de su empresa.
Cómo mantenerse seguro
Evite instalar aplicaciones con nombres imprecisos o permisos excesivos.
Revise siempre las reseñas de los usuarios: si ve advertencias como «no instalar», «esta aplicación actúa como un virus» o calificaciones constantemente bajas, es mejor evitarla.
Tenga cuidado con las notificaciones vacías persistentes: suelen ocultar servicios en segundo plano.
Revise regularmente Ajustes → Aplicaciones para ver si encuentra aplicaciones desconocidas que no aparezcan en su pantalla de inicio.
Conclusión
La campaña GhostAd difumina la línea entre el marketing y el malware. Muestra cómo las herramientas publicitarias cotidianas, combinadas con la persistencia y la ofuscación, pueden socavar silenciosamente la confianza de los usuarios en los ecosistemas móviles.
Millones de usuarios de Android, sin saberlo, se convirtieron en parte de una red publicitaria oculta, y sus teléfonos fueron reutilizados para generar ingresos a su costa.
A medida que evolucionan las amenazas móviles, también lo hacen los abusos creativos de los SDK legítimos. GhostAd nos recuerda que no todas las amenazas se esconden en la sombra; algunas se esconden abiertamente en la tienda de aplicaciones, disfrazadas de diversión inofensiva.
Equipo Prensa
Portal Innova
