Baixou um app de emoji? O GhostAd pode estar destruindo sua bateria

Seu Android ficou lento do nada, começou a esquentar como se estivesse renderizando um vídeo 4K e a bateria passou a derreter mesmo quando você “não está fazendo nada”? E se eu te disser que, em alguns casos, o culpado pode ser um app bobo, do tipo editor de emoji, que trouxe junto um passageiro clandestino?

Esse é o alerta da Check Point Research: uma campanha massiva de adware apelidada de GhostAd conseguiu entrar na Google Play, em apps aparentemente inofensivos, e afetou milhões de usuários. O objetivo aqui não é roubar sua senha do banco. É mais “mesquinho” e, justamente por isso, muito lucrativo: sequestrar os recursos do seu celular para gerar impressões de anúncios sem parar. Em outras palavras, o app vira uma máquina de publicidade forçada, e quem paga a conta é você, em desempenho, dados e energia.

O “vampiro” de bateria: como identificar

Vamos ao que importa: os sinais que você consegue perceber no dia a dia, sem ser especialista.

• Celular lento em tarefas simples, como abrir a câmera ou alternar apps.
• Bateria acabando rápido, mesmo com pouco uso.
• Aquecimento anormal com o aparelho no bolso ou parado na mesa.
• Consumo excessivo de dados, inclusive em Wi-Fi limitado ou no 4G/5G.
• Pop-ups e comportamentos “invasivos”, que parecem brigar com você pela tela.

Pensa na analogia da TV ligada dentro do bolso: você fecha o aplicativo e acredita que “acabou”. Só que o GhostAd continua exibindo anúncios nos bastidores, como uma televisão no volume máximo, drenando bateria e dados enquanto você tenta viver sua vida.

O que é o GhostAd adware Android e por que tanta gente caiu

A campanha GhostAd adware Android foi encontrada em múltiplos aplicativos da Google Play, incluindo categorias que muita gente instala sem pensar duas vezes, como editores de emoji e utilitários genéricos. A CPR identificou pelo menos 15 apps relacionados, e alguns ainda estavam disponíveis no início da investigação. Somados, eles atingiram milhões de downloads, com um deles chegando ao topo de rankings de apps gratuitos em sua categoria.

E aqui tem um detalhe importante: o “truque” não é sofisticado porque usa uma falha mirabolante do sistema. Ele é sofisticado porque usa comportamentos persistentes do jeito certo (para o criminoso) e do jeito errado (para o usuário). É um abuso do ecossistema de publicidade e do próprio modelo de execução em segundo plano.

Mecanismo de AutoRecuperação e persistência

O que torna o GhostAd diferente de um app irritante comum é a persistência. Ele não “sugere anúncios”, ele insiste.

Segundo os pesquisadores, o kit combina três peças que trabalham como um trio bem entrosado:

1. Serviço de primeiro plano “invisível”: ele mantém um processo sempre ativo, mas com uma notificação vazia, discreta, quase sem informações. Isso ajuda o app a parecer “legítimo” para o sistema e dificulta que o Android encerre o processo automaticamente.
2. JobScheduler: aqui mora a teimosia. O JobScheduler é usado para reativar tarefas de publicidade repetidamente, em intervalos curtíssimos. Resultado: você fecha o app e, poucos segundos depois, a rotina de anúncios está de volta.
3. Ciclo contínuo de carregamento de anúncios: a campanha sustenta um loop de exibição e atualização, criando um comportamento de “AutoRecuperação”. É como se o adware se levantasse sozinho depois de cair, repetidas vezes.

Na prática, isso cria um ciclo difícil de interromper sem desinstalar o app. Reiniciar o celular não resolve, porque o mecanismo foi desenhado para ressurgir.

Quando publicidade legítima vira disfarce

Talvez a parte mais desconfortável dessa história seja como ela embaralha a linha entre marketing e malware. O GhostAd usa SDKs de anúncios reais, como Pangle, Vungle, MBridge, AppLovin e BIGO. Isso serve como disfarce: ferramentas legítimas, usadas de forma abusiva, dentro de um sistema persistente.

E por que isso importa? Porque detecção não é só “achar código malicioso”. É também diferenciar o que é monetização agressiva do que é adware com comportamento de malware, e essa fronteira fica propositalmente confusa quando o criminoso se apoia em componentes comuns do mercado publicitário.

O que o Google fez e o que você precisa fazer agora

O Google removeu os apps identificados da Google Play após a notificação (e alguns já haviam sido removidos antes), e houve reforço do Google Play Protect para desativar automaticamente esses aplicativos em dispositivos onde eles ainda estivessem instalados, mesmo que a instalação não tenha vindo da loja.

Só que aqui vem a parte que muita gente esquece: remoção da loja não desinstala no seu aparelho. Então vale um “check-up” rápido:

• Abra Configurações e revise Apps instalados recentemente, principalmente editores de emoji e utilitários com nomes muito genéricos.
• Verifique Bateria e Uso de dados por aplicativo: se um app “bobo” aparece no topo, desconfie.
• Rode uma verificação no Google Play Protect e atualize o sistema e os serviços do Google.
• Se o app resistir à desinstalação, o modo de segurança do Android pode ajudar a remover aplicativos que se comportam de forma abusiva.

Risco no ambiente corporativo: o detalhe que passa batido

A CPR também chama atenção para um risco extra em empresas. Muitos desses apps pedem permissão de armazenamento. Parece banal, mas isso pode incluir acesso a downloads, documentos exportados, prints e arquivos de trabalho. Em um celular corporativo (ou no “seu” celular com e-mail e arquivos do trabalho), esse tipo de adware pode virar um espião acidental, com conectividade constante e comunicação com servidores remotos.

Em um mundo de trabalho híbrido, isso é um lembrete prático: “não é só sobre anúncio”. É sobre superfície de risco, permissões e o que fica guardado no aparelho.