Investigadores en ciberseguridad han descubierto una operación de estafa a gran escala de Android que utilizaba aplicaciones falsas de “historial de llamadas” para engañar a millones de usuarios y que pagaran por registros telefónicos y registros de WhatsApp falsificados.
La campaña, conocida como ESET “CallPhantom”, involucró 28 aplicaciones fraudulentas distribuidas a través de Google Play Store que acumularon en conjunto más de 7,3 millones de descargas antes de ser eliminadas. Las aplicaciones afirmaron falsamente que podían proporcionar registros de llamadas, registros SMS e historiales de llamadas de WhatsApp para prácticamente cualquier número de teléfono.
En lugar de proporcionar información real, las aplicaciones generaban conjuntos de datos falsos usando nombres codificados, marcas de tiempo, números de teléfono y duraciones de llamadas incrustados directamente en el código. Los investigadores no encontraron ninguna funcionalidad real capaz de recuperar registros de comunicación de dispositivos o sistemas de telecomunicaciones.
Según el investigador de ESET, Lukas Stefanko, la estafa llamó la atención por primera vez después de que los usuarios discutieran aplicaciones sospechosas en Reddit a finales de 2025. Un análisis más profundo reveló decenas de aplicaciones casi idénticas que operaban bajo nombres diferentes en Google Play.
Muchas de las aplicaciones estaban dirigidas a usuarios en India y en la región Asia-Pacífico en general. Varios venían con el código de país +91 de la India preseleccionado y soportaban sistemas de pago UPI ampliamente utilizados en el país. ESET indicó que India representó la mayoría de las detecciones de CallPhantom a nivel mundial.
La estafa se basaba en gran medida en la ingeniería social y el marketing impulsado por la curiosidad. Las aplicaciones mostraban resultados parcialmente falsos para convencer a los usuarios de que el servicio funcionaba, y luego exigían el pago para desbloquear historiales de llamadas “completos”. Los planes de suscripción iban desde aproximadamente 6 hasta 80 dólares, dependiendo de la aplicación y el modelo de pago.
Los investigadores identificaron dos métodos operativos principales. Un grupo de aplicaciones mostraba instantáneamente registros de llamadas fabricados generados a partir de plantillas codificadas. Otro solicitó una dirección de correo electrónico y afirmó que el informe completo se entregaría más tarde tras el pago. En algunos casos, los usuarios recibieron alertas falsas de notificación presionándoles para suscribirse antes de que sus “resultados” caducaran.
Las aplicaciones también usaban múltiples sistemas de pago para complicar los reembolsos. Algunos dependían de la facturación de Google Play, mientras que otros evitaban por completo los canales oficiales de pago utilizando aplicaciones UPI de terceros o formularios de tarjetas de pago integrados en las propias aplicaciones. ESET afirmó que estos últimos métodos violaban las políticas de Google Play y dificultaban mucho el reembolso para las víctimas.
A pesar de sus engañosas afirmaciones, las aplicaciones solicitaron notablemente muy pocos permisos sensibles. Los investigadores dijeron que esto se debía a que el software nunca intentó acceder realmente a los historiales de llamadas ni a datos privados de dispositivos. En cambio, toda la estafa giraba en torno a información fabricada diseñada únicamente para generar ingresos por suscripción.
Google eliminó las aplicaciones identificadas después de que ESET informara sobre la campaña a través del programa App Defense Alliance. Los usuarios que pagaron mediante facturación de Google Play pueden seguir calificando para reembolsos dependiendo de las políticas de reembolso y las ventanas de calendario de Google. Las víctimas que han utilizado sistemas de pago externos pueden necesitar contactar directamente con sus bancos o proveedores de pago.
Investigadores de seguridad advierten que la operación pone de manifiesto la continua dificultad de controlar a gran escala las aplicaciones fraudulentas, incluso dentro de las tiendas oficiales. La campaña también demuestra cómo los estafadores explotan cada vez más intereses invasivos o éticamente cuestionables de los usuarios para impulsar descargas y pagos.
Los expertos recomiendan evitar las aplicaciones que afirman dar acceso a comunicaciones privadas que pertenecen a otras personas, ya que estos servicios casi siempre son fraudulentos, ilegales o ambas cosas. También se recomienda a los usuarios revisar cuidadosamente los historiales de desarrolladores, permisos y opiniones de aplicaciones antes de descargar software en los mercados de aplicaciones.