Des chercheurs en cybersécurité ont découvert une opération d’arnaque Android à grande échelle qui utilisait de fausses applications de « historique d’appels » pour tromper des millions d’utilisateurs afin qu’ils paient pour des enregistrements téléphoniques et des journaux WhatsApp fabriqués.
La campagne, suivie sous ESET le nom de « CallPhantom », impliquait 28 applications frauduleuses distribuées via le Google Play Store qui ont totalisé plus de 7,3 millions de téléchargements avant d’être supprimées. Les applications affirmaient faussement pouvoir fournir des journaux d’appels, des enregistrements SMS et des historiques d’appels WhatsApp pour pratiquement n’importe quel numéro de téléphone.
Au lieu de fournir de vraies informations, les applications généraient de faux ensembles de données en utilisant des noms codés en dur, des horodatages, des numéros de téléphone et des durées d’appel intégrés directement dans le code. Les chercheurs n’ont trouvé aucune fonctionnalité réelle capable de récupérer les enregistrements de communication depuis des appareils ou des systèmes télécoms.
Selon Lukas Stefanko, chercheur d’ESET, l’arnaque a d’abord attiré l’attention après que des utilisateurs aient discuté d’applications suspectes sur Reddit fin 2025. Des analyses plus approfondies ont révélé des dizaines d’applications presque identiques fonctionnant sous des noms différents sur Google Play.
Beaucoup d’applications ciblaient les utilisateurs en Inde et dans la région Asie-Pacifique au sens large. Plusieurs étaient équipés du code pays +91 de l’Inde présélectionné et prenaient en charge des systèmes de paiement UPI largement utilisés dans le pays. ESET a indiqué que l’Inde représentait la majorité des détections CallPhantom dans le monde.
L’arnaque reposait fortement sur l’ingénierie sociale et le marketing guidé par la curiosité. Les applications affichaient des résultats partiels faux pour convaincre les utilisateurs que le service fonctionnait, puis exigeaient un paiement pour débloquer des historiques d’appels « complets ». Les forfaits d’abonnement variaient d’environ 6 $ à 80 $, selon l’application et le modèle de paiement.
Les chercheurs ont identifié deux principales méthodes opérationnelles. Un groupe d’applications affichait instantanément des journaux d’appels fabriqués générés à partir de modèles codés en dur. Un autre a demandé une adresse e-mail et a affirmé que le rapport complet serait livré plus tard après paiement. Dans certains cas, les utilisateurs recevaient de fausses alertes de notification les poussant à s’abonner avant que leurs « résultats » ne soient expirés.
Les applications utilisaient également plusieurs systèmes de paiement pour compliquer les remboursements. Certains s’appuyaient sur la facturation Google Play, tandis que d’autres contournaient entièrement les canaux de paiement officiels en utilisant des applications UPI tierces ou des formulaires de carte de paiement intégrés dans les applications elles-mêmes. ESET a déclaré que ces dernières méthodes violaient les politiques de Google Play et rendaient le remboursement beaucoup plus difficile pour les victimes.
Malgré leurs affirmations trompeuses, les applications ont notablement demandé très peu d’autorisations sensibles. Les chercheurs ont indiqué que cela s’expliquait par le fait que le logiciel n’a jamais réellement tenté d’accéder aux historiques d’appels ou aux données privées des appareils. Au lieu de cela, toute l’arnaque tournait autour d’informations fabriquées uniquement pour générer des revenus d’abonnement.
Google a supprimé les applications identifiées après qu’ESET a signalé la campagne via le programme App Defense Alliance. Les utilisateurs ayant payé via la facturation Google Play peuvent toujours bénéficier d’un remboursement selon les politiques de remboursement et les fenêtres de calendrier de Google. Les victimes ayant utilisé des systèmes de paiement externes peuvent devoir contacter directement leurs banques ou leurs prestataires de paiement.
Les chercheurs en sécurité avertissent que l’opération met en lumière la difficulté persistante de contrôler les applications frauduleuses à grande échelle, même à l’intérieur des boutiques officielles. La campagne montre également comment les escrocs exploitent de plus en plus les intérêts intrusifs ou éthiquement discutables des utilisateurs pour générer des téléchargements et des paiements.
Les experts recommandent d’éviter les applications qui prétendent donner accès à des communications privées appartenant à d’autres personnes, car ces services sont presque toujours frauduleux, illégaux, ou les deux. Il est également conseillé aux utilisateurs de consulter attentivement l’historique des développeurs, les autorisations et les avis d’applications avant de télécharger des logiciels sur les places de marché d’applications.