Siber güvenlik araştırmacıları, milyonlarca kullanıcıyı sahte telefon kayıtları ve WhatsApp kayıtları için ödeme yapmaya kandıran sahte “arama geçmişi” uygulamalarını kullanan büyük ölçekli bir Android dolandırıcılık operasyonunu ortaya çıkardı.
“CallPhantom” olarak takip ESET edilen kampanya, Google Play Store üzerinden dağıtılan 28 sahte uygulamayı içeriyordu ve toplamda 7,3 milyondan fazla indirme topladı ve kaldırıldı. Uygulamalar, neredeyse her telefon numarası için arama kayıtları, SMS kayıtları ve WhatsApp arama geçmişleri sağlayabildiklerini yanlış iddia etti.
Gerçek bilgi vermek yerine, uygulamalar kod içine gömülü sabit kodlanmış isimler, zaman damgaları, telefon numaraları ve arama süreleri kullanarak sahte veri setleri oluşturdu. Araştırmacular, cihazlardan veya telekom sistemlerinden iletişim kayıtlarını alabilen gerçek bir işlevsellik bulmadılar.
ESET araştırmacısı Lukas Stefanko’ya göre, dolandırıcılık ilk olarak 2025 sonlarında kullanıcıların şüpheli uygulamaları Reddit’te tartışmasıyla dikkat çekti. Daha fazla analiz, Google Play’de farklı isimler altında neredeyse aynı olan onlarca uygulamanın çalıştığını ortaya çıkardı.
Uygulamaların çoğu Hindistan ve daha geniş Asya-Pasifik bölgesindeki kullanıcıları hedef aldı. Birkaçı Hindistan’ın önceden seçilmiş ve desteklenen +91 ülke kodu ile geldi; bu UPI ödeme sistemleri ülkede yaygın olarak kullanılıyordu. ESET, dünya genelinde CallPhantom tespitlerinin çoğunluğunun Hindistan’ı oluşturduğunu belirtti.
Dolandırıcılık, büyük ölçüde sosyal mühendislik ve merak odaklı pazarlamaya dayanıyordu. Uygulamalar, kullanıcıların hizmetin işe yaradığını ikna etmek için kısmi sahte sonuçlar gösterdi, ardından “tam” çağrı geçmişlerini açmak için ödeme talep etti. Abonelik planları, uygulama ve ödeme modeline bağlı olarak yaklaşık 6 ila 80 dolar arasında değişiyordu.
Araştırmacılar iki ana operasyonel yöntem belirlediler. Bir uygulama grubu, sabit kodlanmış şablonlardan oluşturulan uydurma çağrı kayıtlarını anında gösterdi. Bir diğeri ise e-posta adresi istedi ve tam raporun ödemeden sonra teslim edileceğini söyledi. Bazı durumlarda, kullanıcılar “sonuçları” süresi dolmadan abone olmaları için sahte bildirim uyarıları aldı.
Uygulamalar ayrıca iadeleri karmaşıklaştırmak için birden fazla ödeme sistemi kullandı. Bazıları Google Play faturalamasına güvenirken, diğerleri resmi ödeme kanallarını tamamen üçüncü taraf UPI uygulamaları veya uygulamaların içine gömülü ödeme kartı formları kullanarak atladı. ESET, son yöntemlerin Google Play politikalarını ihlal ettiğini ve mağdurlar için geri ödeme işlemlerini önemli ölçüde zorlaştırdığını belirtti.
Aldatıcı iddialarına rağmen, uygulamalar özellikle çok az hassas izin talep etti. Araştırmacılar bunun nedeninin yazılımın aslında arama geçmişlerine veya özel cihaz verilerine erişmeye çalışmamasından kaynaklandığını söyledi. Bunun yerine, tüm dolandırıcılık sadece abonelik geliri elde etmek için tasarlanmış uydurma bilgiler etrafında dönüyordu.
Google, ESET’in kampanyayı App Defense Alliance programı aracılığıyla bildirmesinin ardından tanımlanan uygulamaları kaldırdı. Google Play faturalandırması üzerinden ödeme yapan kullanıcılar, Google’ın iade politikaları ve zaman çizelgelerine bağlı olarak hâlâ iade almaya hak kazanabilir. Dış ödeme sistemleri kullanan mağdurların doğrudan bankaları veya ödeme sağlayıcılarıyla iletişime geçmeleri gerekebilir.
Güvenlik araştırmacıları, operasyonun, resmi uygulama mağazalarında bile sahte uygulamaları büyük ölçekte denetlemenin devam eden zorluğunu vurguladığını belirtiyor. Kampanya ayrıca, dolandırıcıların indirme ve ödeme sağlamak için giderek daha fazla müdahaleci veya etik açıdan şüpheli kullanıcı çıkarlarını nasıl sömürdüğünü gösteriyor.
Uzmanlar, başka kişilere ait özel iletişimlere erişim sağladığını iddia eden uygulamalardan kaçınmayı önerir; çünkü bu tür hizmetler neredeyse her zaman sahteci, yasa dışı veya her ikisi de olabilir. Kullanıcılara, uygulama pazarlarından yazılım indirmeden önce geliştirici geçmişlerini, izinlerini ve uygulama incelemelerini dikkatlice incelemeleri tavsiye edilir.