I ricercatori di cybersecurity hanno scoperto un’operazione di truffa su larga scala su Android che utilizzava false app di “cronologia chiamate” per ingannare milioni di utenti facendogli pagare per registri telefonici e log WhatsApp falsificati.
La campagna, tracciata come ESET “CallPhantom”, ha coinvolto 28 app fraudolente distribuite tramite il Google Play Store che complessivamente hanno accumulato oltre 7,3 milioni di download prima di essere rimosse. Le app hanno falsamente affermato di poter fornire registri delle chiamate, registri SMS e cronologie delle chiamate WhatsApp per praticamente qualsiasi numero di telefono.
Invece di fornire informazioni reali, le app generavano dataset falsi usando nomi codificati, timestamp, numeri di telefono e durate delle chiamate direttamente nel codice. I ricercatori non hanno trovato alcuna funzionalità effettiva in grado di recuperare i record di comunicazione da dispositivi o sistemi di telecomunicazione.
Secondo il ricercatore ESET Lukas Stefanko, la truffa è emersa per la prima volta dopo che gli utenti hanno discusso di app sospette su Reddit alla fine del 2025. Ulteriori analisi hanno rivelato decine di app quasi identiche che operano con nomi diversi su Google Play.
Molte delle app sono rivolte agli utenti in India e nella più ampia regione Asia-Pacifico. Diversi erano forniti con il prefisso nazionale +91 dell’India preselezionato e supportavano sistemi di pagamento UPI ampiamente utilizzati nel paese. ESET ha dichiarato che l’India rappresenta la maggior parte delle rilevazioni di CallPhantom a livello globale.
La truffa si basava fortemente sull’ingegneria sociale e sul marketing guidato dalla curiosità. Le app mostravano risultati parzialmente falsi per convincere gli utenti che il servizio funzionava, poi chiedevano il pagamento per sbloccare la cronologia delle chiamate “complete”. I piani in abbonamento variavano da circa 6 a 80 dollari, a seconda dell’app e del modello di pagamento.
I ricercatori hanno identificato due metodi operativi principali. Un gruppo di app mostrava immediatamente registri delle chiamate fabbricati generati da template codificati in rigido. Un altro ha richiesto un indirizzo email e ha affermato che il rapporto completo sarebbe stato consegnato successivamente dopo il pagamento. In alcuni casi, gli utenti hanno ricevuto false notifiche che li spingevano ad iscriversi prima che i loro “risultati” scadessero.
Le app utilizzavano anche più sistemi di pagamento per complicare i rimborsi. Alcuni si basavano sulla fatturazione di Google Play, mentre altri bypassavano completamente i canali di pagamento ufficiali utilizzando app UPI di terze parti o moduli di carta di pagamento integrati all’interno delle app stesse. ESET ha affermato che questi ultimi metodi violavano le politiche di Google Play e rendevano significativamente più difficile il rimborso per le vittime.
Nonostante le loro affermazioni ingannevoli, le app richiedevano pochissimi permessi sensibili. I ricercatori hanno detto che ciò era dovuto al fatto che il software non aveva mai tentato di accedere alla cronologia delle chiamate o ai dati privati dei dispositivi. Invece, tutta la truffa ruotava attorno a informazioni inventate pensate esclusivamente per generare ricavi da abbonamenti.
Google ha rimosso le app identificate dopo che ESET ha riportato la campagna tramite il programma App Defense Alliance. Gli utenti che hanno pagato tramite la fatturazione di Google Play possono comunque avere diritto ai rimborsi a seconda delle politiche di rimborso di Google e delle finestre di tempistica. Le vittime che hanno utilizzato sistemi di pagamento esterni potrebbero dover contattare direttamente le proprie banche o fornitori di pagamento.
I ricercatori di sicurezza avvertono che l’operazione evidenzia la continua difficoltà nel controllare le app fraudolente su larga scala, anche all’interno degli app store ufficiali. La campagna dimostra anche come i truffatori sfruttino sempre più gli interessi invasivi o eticamente discutibili degli utenti per generare download e pagamenti.
Gli esperti raccomandano di evitare le app che affermano di fornire accesso a comunicazioni private appartenenti ad altre persone, poiché tali servizi sono quasi sempre fraudolenti, illegali o entrambe le cose. Si consiglia inoltre agli utenti di esaminare attentamente le storie degli sviluppatori, i permessi e le recensioni delle app prima di scaricare software dai marketplace di app.