Investigadores de ciberseguridad han descubierto aplicaciones fraudulentas en la tienda oficial Google Play Store para Android que afirmaban falsamente ofrecer acceso a historiales de llamadas para cualquier número de teléfono, solo para engañar a los usuarios para que se unieran a una suscripción que proporcionaba datos falsos y generaba pérdidas financieras.
Las 28 aplicaciones acumularon en conjunto más de 7,3 millones de descargas, y una de ellas por sí sola representó más de 3 millones de descargas, antes de ser retiradas de la tienda oficial de aplicaciones. llamada fantasma de la empresa eslovaca de ciberseguridad ESET, se dirigió principalmente a usuarios de Android en la India y la región más amplia de Asia y el Pacífico.
«Las aplicaciones infractoras, a las que llamamos CallPhantom debido a sus afirmaciones falsas, pretenden proporcionar acceso a historiales de llamadas, registros de SMS e incluso registros de llamadas de WhatsApp para cualquier número de teléfono», dijo el investigador de seguridad de ESET Lukáš Štefanko. dicho en un informe compartido con The Hacker News. «Para desbloquear esta supuesta característica, se pide a los usuarios que paguen, pero todo lo que obtienen a cambio son datos generados aleatoriamente».
La lista de aplicaciones identificadas se encuentra a continuación:
- Historial de llamadas: detalles de cualquier número (calldetaila.ndcallhisto.rytogetan.ynumber)
- Historial de llamadas de cualquier número (com.pixelxinnovation.manager)
- Detalles de llamadas de cualquier número (com.app.call.detail.history)
- Historial de llamadas Detalle de cualquier número (sc.call.ofany.mobiledetail)
- Historial de llamadas Detalle de cualquier número (com.cddhaduk.callerid.block.contact)
- Historial de llamadas de cualquier número (com.basehistory.historydownloading)
- Historial de llamadas de cualquier número (com.call.of.any.number)
- Historial de llamadas de cualquier número (com.rajni.callhistory)
- Historial de llamadas Detalle de cualquier número (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager)
- Historial de llamadas Detalle de cualquier número (com.callinformative.instantcallhistory.callhistorybluethem.callinfo)
- Detalle del historial de llamadas Cualquier número (com.call.detail.caller.history)
- Historial de llamadas Detalle de cualquier número (com.anycallinformation.datadetailswho.callinfo.numberfinder)
- Historial de llamadas Detalle de cualquier número (com.callhistory.callhistoryyourgf)
- Historial de llamadas Cualquier número (com.calldetails.smshistory.callhistoryofanynumber)
- Historial de llamadas Detalle de cualquier número (com.callhistory.anynumber.chapfvor.history)
- Historial de llamadas de cualquier número (com.callhistory.callhistoryany.call)
- Historial de llamadas Detalle de cualquier número (com.name.factor)
- Historial de llamadas de cualquier número (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber)
- Historial de llamadas de cualquier número (com.chdev.callhistory)
- Rastreador del historial de llamadas telefónicas (com.phone.call.history.tracke)
- Historial de llamadas: detalles de cualquier número (com.pdf.maker.pdfreader.pdfscanner)
- Historial de llamadas de cualquier número (com.any.numbers.calls.history)
- Historial de llamadas Detalle de cualquier número (com.callapp.historyero)
- Historial de llamadas: datos de cualquier número (all.callhistory.detail)
- Historial de llamadas para cualquier número (com.easyranktools.callhistoryforanynumber)
- Historial de llamadas de números (com.sbpinfotech.findlocationofanynumber)
- Historial de llamadas de cualquier número (callhistoryeditor.callhistory.numberdetails.calleridlocator)
- Historial de llamadas Pro (com.all_historydownload.anynumber.callhistorybackup)
Al menos una de las aplicaciones marcadas se publicó con el nombre de desarrollador «Indian gov.in» en un intento de generar una falsa sensación de confianza y engañar a los usuarios desprevenidos para que la descarguen.
Sin embargo, este truco enmascara un motivo nefasto en el que se pide a las víctimas que realicen un pago para ver los detalles del historial de llamadas y SMS de un número de teléfono. Una vez realizado el pago, los usuarios reciben números de teléfono y nombres completamente inventados directamente integrados en el código fuente. La evidencia indica que la actividad pudo haber estado activa. desde al menos noviembre de 2025.
Se ha descubierto que un segundo grupo de estas aplicaciones pide a los usuarios que introduzcan su dirección de correo electrónico a la que se enviarán los supuestos detalles de cualquier número de teléfono. Como en el caso anterior, no se generan datos hasta que se realiza el pago.
Los pagos dependen de suscripciones a través del sistema de facturación oficial de Google Play Store o de aplicaciones de terceros que admiten la Interfaz de pagos unificados (UPI), un sistema de pago instantáneo ampliamente utilizado en la India. Irónicamente, esta lista incluye Google Pay, PhonePe y Paytm, respaldado por Walmart. Un tercer método incluye formularios de pago con tarjeta de pago directamente dentro de las aplicaciones. Los dos últimos enfoques violan la política de Google.
En al menos un caso, las aplicaciones implementaron un truco adicional para convencer al usuario de realizar un pago. Si salen de la aplicación sin realizar ningún pago, se muestra una notificación engañosa que afirma que se ha enviado correctamente a su dirección de correo electrónico un historial de llamadas de un determinado número de teléfono. Al hacer clic en la notificación, el usuario accede directamente a una pantalla de suscripción.
Los planes de suscripción varían según la aplicación y oscilan entre $ 6 y $ 80. Los usuarios que puedan haber sido víctimas de la estafa deberían haber tenido su suscripciones canceladas después de que las aplicaciones fueron eliminadas de Google Play Store.
Lo que hace que esta actividad sea notable es que las aplicaciones tienen una interfaz de usuario simple y no solicitan ningún permiso confidencial. Y para colmo, ni siquiera contienen ninguna funcionalidad para recuperar datos de llamadas, SMS o WhatsApp.
«Los usuarios que se suscribieron a través de la facturación oficial de Google Play pueden ser elegibles para recibir reembolsos según las políticas de reembolso de Google», dijo ESET. «Google no puede reembolsar las compras realizadas a través de aplicaciones de pago de terceros o mediante el ingreso directo con tarjeta, lo que deja a los usuarios dependientes de proveedores o desarrolladores de pagos externos».
La divulgación se produce cuando Group-IB dijo que los malos actores han robado aproximadamente 2 millones de dólares de usuarios indonesios como parte de una campaña de fraude que implicaba hacerse pasar por la plataforma fiscal del país, CoreTax, y otras marcas confiables. La campaña, que comenzó en julio de 2025, se ha vinculado a un grupo de amenazas con motivación financiera llamado fábrica de oro.
«La cadena de ataque integra sitios web de phishing, ingeniería social (WhatsApp), carga lateral de APK malicioso y phishing de voz (vishing) para lograr un compromiso total del dispositivo y la ejecución de transferencias no autorizadas», Group-IB dicho.
En un alto nivel, estos ataques implican el uso de ingeniería social para distribuir aplicaciones falsas a través de WhatsApp, que, cuando se instalan, implementan malware para Android como RATA Gigabud, MMRatay Taotie que son capaces de recopilar datos confidenciales y descargar componentes adicionales. La información robada se utiliza luego para llevar a cabo ataques de apropiación de cuentas y robos financieros.
«La infraestructura de malware que respalda esta campaña de fraude no se limita a un único servicio suplantado. Se ha observado que la misma infraestructura abusa activamente de más de 16 marcas confiables, dirigidas colectivamente a la población más amplia de Indonesia de aproximadamente 287 millones», dijo Group-IB.
Fuente