Pesquisadores de cibersegurança descobriram apps fraudulentos na loja oficial Google Play Store para Android que alegavam, de forma falsa, oferecer acesso ao histórico de chamadas de qualquer número de telefone.
Na prática, eles levavam os usuários a assinar um serviço que entregava dados inventados e causava prejuízo financeiro.
Os 28 apps somaram mais de 7,3 milhões de downloads, e um deles sozinho ultrapassou 3 milhões de instalações antes de ser removido da loja oficial.
A atividade, batizada de CallPhantom pela empresa eslovaca de cibersegurança ESET, mirou principalmente usuários de Android na Índia e em outros países da região Ásia-Pacífico.
“Os apps maliciosos, que chamamos de CallPhantom com base nas alegações falsas que faziam, afirmam oferecer acesso ao histórico de chamadas, registros de SMS e até logs de chamadas do WhatsApp de qualquer número de telefone”, disse o pesquisador de segurança da ESET, Lukáš Štefanko, em relatório compartilhado com o The Hacker News.
“Para desbloquear essa suposta função, os usuários são orientados a pagar, mas tudo o que recebem em troca são dados gerados aleatoriamente.”
A lista dos apps identificados inclui:
Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber)
Call History of Any Number (com.pixelxinnovation.manager)
Call Details of Any Number (com.app.call.detail.history)
Call History Any Number Detail (sc.call.ofany.mobiledetail)
Call History Any Number Detail (com.cddhaduk.callerid.block.contact)
Call History Of Any Number (com.basehistory.historydownloading)
Call History of Any Numbers (com.call.of.any.number)
Call History Of Any Number (com.rajni.callhistory)
Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager)
Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo)
Call History Any Number detail (com.call.detail.caller.history)
Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder)
Call History Any Number Detail (com.callhistory.callhistoryyourgf)
Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber)
Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history)
Call History of Any Number (com.callhistory.callhistoryany.call)
Call History Any Number Detail (com.name.factor)
Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber)
Call History Of Any Number (com.chdev.callhistory)
Phone Call History Tracker (com.phone.call.history.tracke)
Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner)
Call History Of Any Number (com.any.numbers.calls.history)
Call History Any Number Detail (com.callapp.historyero)
Call History - Any Number Data (all.callhistory.detail)
Call History For Any Number (com.easyranktools.callhistoryforanynumber)
Call History of Numbers (com.sbpinfotech.findlocationofanynumber)
Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator)
Call History Pro (com.all_historydownload.anynumber.callhistorybackup)
Pelo menos um dos apps sinalizados foi publicado com o nome de desenvolvedor “Indian gov.in”, numa tentativa de criar uma falsa sensação de confiança e induzir usuários desavisados a baixá-lo.
A tática, no entanto, escondia um objetivo malicioso: as vítimas eram incentivadas a fazer um pagamento para ver os detalhes do histórico de chamadas e SMS de um número de telefone.
Depois da transação, o app exibia números de telefone e nomes totalmente fabricados, embutidos diretamente no código-fonte.
Evidências indicam que a campanha pode estar ativa desde pelo menos novembro de 2025.
Um segundo grupo desses apps também foi identificado.
Nesse caso, os aplicativos pediam que o usuário informasse seu endereço de e-mail para receber supostos detalhes de qualquer número de telefone.
Assim como no cenário anterior, nada era gerado até que o pagamento fosse feito.
Os pagamentos eram realizados por meio de assinaturas no sistema oficial de cobrança da Google Play Store ou via apps de terceiros compatíveis com o Unified Payments Interface, um sistema de pagamento instantâneo amplamente usado na Índia.
Entre os exemplos citados estavam Google Pay, PhonePe, da Walmart, e Paytm.
Um terceiro método incluía formulários de pagamento com cartão diretamente dentro dos apps.
As duas últimas abordagens violam a política do Google.
Em pelo menos um caso, os apps adotaram uma tática adicional para pressionar o usuário a pagar.
Se a pessoa saísse do app sem concluir a transação, era exibida uma notificação enganosa informando que o histórico de chamadas de determinado número havia sido enviado com sucesso para o e-mail dela.
Ao clicar na notificação, o usuário era levado diretamente para uma tela de assinatura.
Os planos de assinatura variavam entre cerca de US$ 6 e US$ 80.
Usuários que tenham caído no golpe deveriam ter suas assinaturas canceladas após a remoção dos apps da Google Play Store.
O que torna essa atividade relevante é o fato de os apps terem interface simples e não solicitarem permissões sensíveis.
Além disso, não continham nenhuma funcionalidade real para recuperar dados de chamadas, SMS ou WhatsApp.
“Usuários que assinaram por meio da cobrança oficial da Google Play podem ter direito a reembolso, conforme as políticas de devolução do Google”, disse a ESET.
“Compras feitas por apps de pagamento de terceiros ou por meio da inserção direta de cartão não podem ser reembolsadas pelo Google, deixando os usuários dependentes de provedores externos de pagamento ou dos desenvolvedores.”
A divulgação ocorre ao mesmo tempo em que a Group-IB informou que agentes maliciosos roubaram cerca de US$ 2 milhões de usuários indonésios em uma campanha fraudulenta que se passava pela plataforma tributária do país, a CoreTax, além de outras marcas confiáveis.
A campanha, iniciada em julho de 2025, foi atribuída a um grupo movido por ganhos financeiros chamado GoldFactory.
“A cadeia de ataque integra sites de phishing, engenharia social via WhatsApp, sideloading de APK malicioso e voice phishing (vishing) para obter comprometimento total do dispositivo e execução não autorizada de transferências”, disse a Group-IB.
Em linhas gerais, esses ataques usam engenharia social para distribuir os apps falsos pelo WhatsApp.
Uma vez instalados, eles implantam malware para Android como Gigabud RAT, MMRat e Taotie, capazes de coletar dados sensíveis e baixar componentes adicionais.
As informações roubadas são então usadas para ataques de tomada de conta e roubo financeiro.
“A infraestrutura de malware que sustenta essa campanha fraudulenta não se limita a um único serviço falsificado.
A mesma infraestrutura foi observada abusando ativamente de mais de 16 marcas confiáveis, tendo como alvo a população mais ampla da Indonésia, de aproximadamente 287 milhões de pessoas”, disse a Group-IB.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...