Pesquisadores de cibersegurança descobriram uma operação de golpe em larga escala com o Android que usava aplicativos falsos de “histórico de chamadas” para enganar milhões de usuários e fazerem pagar por registros telefônicos e registros do WhatsApp falsificados.
A campanha, rastreada como ESET “CallPhantom”, envolveu 28 aplicativos fraudulentos distribuídos pela Google Play Store que, no total, acumularam mais de 7,3 milhões de downloads antes de serem removidos. Os aplicativos alegaram falsamente que podiam fornecer registros de chamadas, registros de SMS e históricos de chamadas do WhatsApp para praticamente qualquer número de telefone.
Em vez de fornecer informações reais, os aplicativos geravam conjuntos de dados falsos usando nomes codificados, carimbos de data, números de telefone e durações de chamadas embutidos diretamente no código. Pesquisadores não encontraram nenhuma funcionalidade real capaz de recuperar registros de comunicação de dispositivos ou sistemas de telecomunicações.
Segundo o pesquisador da ESET, Lukas Stefanko, o golpe ganhou atenção pela primeira vez depois que usuários discutiram aplicativos suspeitos no Reddit no final de 2025. Análises adicionais revelaram dezenas de aplicativos quase idênticos operando sob nomes diferentes no Google Play.
Muitos desses aplicativos tinham como alvo usuários na Índia e na região mais ampla da Ásia-Pacífico. Vários vieram com o código de país +91 da Índia pré-selecionado e suportavam sistemas de pagamento UPI amplamente usados no país. A ESET afirmou que a Índia foi responsável pela maioria das detecções de CallPhantom no mundo.
O golpe dependia fortemente da engenharia social e do marketing movido por curiosidade. Os aplicativos exibiam resultados parciais falsos para convencer os usuários de que o serviço funcionava, e depois exigiam pagamento para desbloquear históricos de chamadas “completos”. Os planos de assinatura variavam de aproximadamente $6 a $80, dependendo do aplicativo e do modelo de pagamento.
Pesquisadores identificaram dois métodos operacionais principais. Um grupo de aplicativos exibiu instantaneamente registros de chamadas fabricados gerados a partir de modelos codificados fixamente. Outro solicitou um endereço de e-mail e afirmou que o relatório completo seria entregue posteriormente, após o pagamento. Em alguns casos, os usuários receberam alertas falsos pressionando-os a se inscrever antes que seus “resultados” expirassem.
Os aplicativos também usavam múltiplos sistemas de pagamento para complicar os reembolsos. Alguns dependiam da faturação do Google Play, enquanto outros ignoravam completamente os canais oficiais de pagamento, usando aplicativos UPI de terceiros ou formulários de cartão de pagamento embutidos dentro dos próprios aplicativos. A ESET afirmou que esses últimos métodos violavam as políticas do Google Play e dificultavam significativamente o reembolso para as vítimas.
Apesar de suas alegações enganosas, os aplicativos notavelmente solicitaram pouquíssimas permissões sensíveis. Pesquisadores disseram que isso ocorreu porque o software nunca tentou realmente acessar históricos de chamadas ou dados privados de dispositivos. Em vez disso, todo o golpe girava em torno de informações fabricadas criadas unicamente para gerar receita de assinaturas.
O Google removeu os aplicativos identificados após a ESET reportar a campanha por meio do programa App Defense Alliance. Usuários que pagaram pelo Google Play Billing ainda podem se qualificar para reembolsos, dependendo das políticas de reembolso e janelas de tempo do Google. Vítimas que usaram sistemas de pagamento externos podem precisar contatar diretamente seus bancos ou provedores de pagamento.
Pesquisadores de segurança alertam que a operação destaca a dificuldade contínua de policiar aplicativos fraudulentos em larga escala, mesmo dentro das lojas oficiais de aplicativos. A campanha também demonstra como golpistas exploram cada vez mais interesses invasivos ou eticamente questionáveis dos usuários para impulsionar downloads e pagamentos.
Especialistas recomendam evitar aplicativos que afirmam fornecer acesso a comunicações privadas pertencentes a outras pessoas, pois esses serviços quase sempre são fraudulentos, ilegais ou ambos. Os usuários também são aconselhados a revisar cuidadosamente os históricos dos desenvolvedores, permissões e avaliações de aplicativos antes de baixar softwares em marketplaces de aplicativos.