Cybersicherheitsforscher haben eine groß angelegte Android-Betrugsoperation aufgedeckt, bei der gefälschte “Anrufhistorie”-Apps Millionen von Nutzern dazu gebracht wurden, für gefälschte Telefondaten und WhatsApp-Protokolle zu bezahlen.
Die Kampagne, verfolgt von ESET “CallPhantom”, umfasste 28 betrügerische Apps, die über den Google Play Store verteilt wurden und zusammen mehr als 7,3 Millionen Downloads sammelten, bevor sie entfernt wurden. Die Apps behaupteten fälschlicherweise, sie könnten Anrufprotokolle, SMS-Aufzeichnungen und WhatsApp-Anrufverläufe für praktisch jede Telefonnummer bereitstellen.
Anstatt echte Informationen bereitzustellen, generierten die Apps gefälschte Datensätze mit fest kodierten Namen, Zeitstempeln, Telefonnummern und Anrufdauern, die direkt im Code eingebettet waren. Forscher fanden keine tatsächliche Funktionalität, die in der Lage wäre, Kommunikationsaufzeichnungen von Geräten oder Telekommunikationssystemen abzurufen.
Laut ESET-Forscher Lukas Stefanko wurde der Betrug erstmals bekannt, nachdem Nutzer Ende 2025 auf Reddit verdächtige Apps diskutierten. Weitere Analysen ergaben Dutzende nahezu identischer Apps, die unter verschiedenen Namen auf Google Play laufen.
Viele der Apps richteten sich an Nutzer in Indien und der weiteren Asien-Pazifik-Region. Mehrere kamen mit Indiens +91-Ländercode vorab ausgewählt und unterstützten UPI-Zahlungssysteme, die im Land weit verbreitet sind. ESET erklärte, dass Indien weltweit für den Großteil der CallPhantom-Erkennungen verantwortlich sei.
Der Betrug stützte sich stark auf Social Engineering und neugiergetriebenes Marketing. Apps zeigten teilweise gefälschte Ergebnisse, um die Nutzer davon zu überzeugen, dass der Dienst funktionierte, und forderten dann eine Bezahlung, um “vollständige” Anrufverläufe freizuschalten. Die Abonnements lagen je nach App und Zahlungsmodell zwischen etwa 6 und 80 US-Dollar.
Die Forscher identifizierten zwei Hauptoperationen. Eine Gruppe von Apps zeigte sofort gefälschte Anrufprotokolle an, die aus fest codierten Vorlagen generiert wurden. Ein anderer forderte eine E-Mail-Adresse an und behauptete, der vollständige Bericht würde später nach der Zahlung zugestellt. In manchen Fällen erhielten Nutzer gefälschte Benachrichtigungen, die sie zum Abonnement drängten, bevor ihre “Ergebnisse” abgelaufen waren.
Die Apps nutzten außerdem mehrere Zahlungssysteme, um die Rückerstattungen zu erschweren. Einige nutzten die Abrechnung von Google Play, während andere offizielle Zahlungskanäle vollständig umgingen, indem sie Drittanbieter-UPI-Apps oder eingebettete Zahlungskartenformulare in den Apps selbst nutzten. ESET erklärte, dass letztere Methoden gegen die Google-Play-Richtlinien verstießen und die Erstattung für Opfer deutlich erschweren.
Trotz ihrer irreführenden Behauptungen forderten die Apps bemerkenswert wenige sensible Erlaubnisse an. Forscher sagten, dies liege daran, dass die Software nie tatsächlich versucht hat, Anrufverläufe oder Daten privater Geräte abzurufen. Stattdessen drehte sich der gesamte Betrug um gefälschte Informationen, die ausschließlich dazu dienten, Abonnementeinnahmen zu generieren.
Google entfernte die identifizierten Apps, nachdem ESET die Kampagne über das App Defense Alliance-Programm gemeldet hatte. Nutzer, die über Google Play Billing bezahlt haben, können je nach Googles Rückerstattungsrichtlinien und Zeitfenstern dennoch für Rückerstattungen in Frage kommen. Opfer, die externe Zahlungssysteme genutzt haben, müssen möglicherweise direkt ihre Banken oder Zahlungsdienstleister kontaktieren.
Sicherheitsforscher warnen, dass die Operation die anhaltende Schwierigkeit unterstreicht, betrügerische Apps in großem Umfang zu überwachen, selbst innerhalb offizieller App-Stores. Die Kampagne zeigt außerdem, wie Betrüger zunehmend invasive oder ethisch fragwürdige Nutzerinteressen ausnutzen, um Downloads und Zahlungen anzutreiben.
Experten empfehlen, Apps zu meiden, die behaupten, Zugang zu privaten Kommunikationen anderer Personen zu bieten, da solche Dienste fast immer betrügerisch, illegal oder beides sind. Nutzern wird außerdem geraten, die Entwicklergeschichte, Berechtigungen und App-Bewertungen sorgfältig zu prüfen, bevor sie Software von App-Marktplätzen herunterladen.