Des millions d'utilisateurs Android ont vu leurs appareils se transformer en véritables machines à générer des revenus publicitaires, et ce, à leur total insu. La cause ? Un logiciel publicitaire particulièrement tenace, nommé GhostAd, qui s'est dissimulé dans des applications utilitaires anodines disponibles sur le Google Play Store, comme de simples calculatrices ou des lampes torches. L'une de ces applications infectées a même réussi à atteindre la deuxième place des outils gratuits les plus populaires.
Comment ce malware parvient-il à rester actif en permanence ?
GhostAd déploie des techniques sophistiquées pour s'incruster profondément dans le système d'exploitation. Dès le lancement de l'application vérolée, il enregistre un service dit de « premier plan » (foreground service), une manœuvre qui lui garantit une exécution continue. Ce service sournois reste actif même si l'utilisateur ferme l'application ou redémarre son appareil.
Pour se conformer aux règles d'Android, qui exigent une notification visible pour ce type de processus, le malware affiche une notification totalement vide et impossible à supprimer. C'est une astuce qui le rend invisible aux yeux d'un utilisateur non averti. Pour renforcer sa persistance, GhostAd utilise aussi un planificateur de tâches qui relance le chargement des publicités toutes les quelques secondes, créant une boucle quasi impossible à arrêter.
Quels sont les impacts concrets pour les utilisateurs touchés ?
Les conséquences de l'infection par GhostAd sont rapidement perceptibles. Le smartphone devient soudainement plus lent et beaucoup moins réactif. Cette dégradation des performances s'explique par la surcharge de la mémoire vive, constamment sollicitée par le chargement ininterrompu des annonces. Les utilisateurs sont enrôlés malgré eux dans un réseau publicitaire clandestin.
En parallèle, l'autonomie de la batterie fond comme neige au soleil, car le processeur est maintenu éveillé en permanence, faisant exploser la consommation d'énergie. Les commentaires laissés par les victimes sur le Play Store décrivaient une expérience utilisateur complètement ruinée, avec des téléphones parfois bloqués par des pop-ups toutes les dix secondes. La majorité des victimes se situent en Asie, mais des cas ont aussi été signalés en Europe.
Quelles mesures ont été prises et comment se protéger ?
Alerté par les experts en cybersécurité de Check Point, Google a rapidement réagi en supprimant l'intégralité des applications infectées de son Play Store. De plus, le service Google Play Protect, activé par défaut sur les appareils Android, a été mis à jour. Il est désormais capable de neutraliser automatiquement les applications contenant le malware GhostAd, même si elles sont déjà installées.
Pour éviter de tomber dans ce genre de piège, la vigilance reste la meilleure défense. Avant d'installer une nouvelle application, y compris depuis une boutique officielle, il est crucial de consulter attentivement les avis laissés par les autres utilisateurs. Des commentaires négatifs récurrents signalant des publicités intempestives ou des comportements suspects doivent être considérés comme un signal d'alarme majeur.