Investigadores de ciberseguridad han descubierto una aplicación fraudulenta en la tienda oficial Google Play Store para Android que pretende brindar acceso al historial de llamadas de cualquier número de teléfono, solo para engañar a los usuarios para que proporcionen datos falsos y se registren en una suscripción que genera pérdidas financieras.
Las 28 aplicaciones tuvieron un total de más de 7,3 millones de descargas, y sólo una de ellas tuvo más de 3 millones de descargas antes de ser eliminada de las tiendas de aplicaciones oficiales. Desarrollada por la empresa eslovaca de ciberseguridad ESET y con el nombre en código CallPhantom, la operación estaba dirigida principalmente a usuarios de Android en India y la región de Asia y el Pacífico en general.
«La aplicación en cuestión, llamada CallPhantom basándose en afirmaciones falsas, pretende proporcionar acceso al historial de llamadas, registros de SMS e incluso registros de llamadas de WhatsApp para cualquier número de teléfono», dijo el investigador de seguridad de ESET, Lukasz Stefanko, en un informe compartido con The Hacker News. «Para desbloquear esta supuesta funcionalidad, se pedirá a los usuarios que paguen una tarifa, pero lo único que recibirán a cambio serán datos generados aleatoriamente».
La lista de aplicaciones identificadas se encuentra a continuación:
Historial de llamadas: Datos de cualquier número (calldetaila.ndcallhisto.rytogetan.ynumber) Historial de llamadas de cualquier número (com.pixelxinnovation.manager) Detalles de llamadas de cualquier número (com.app.call.detail.history) Historial de llamadas de cualquier número (sc.call.ofany.mobiledetail) Historial de llamadas de cualquier número (com.cddhaduk.callerid.block.contact) Historial de llamadas de cualquier número (com.basehistory.historydownloading) Historial de llamadas de cualquier número (com.call.of.any.number) Historial de llamadas de cualquier número (com.rajni.callhistory) Detalles del historial de llamadas de cualquier número (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager) Detalles del historial de llamadas de cualquier número (com.callinformative.instantcallhistory.callhistorybluethem.callinfo) Detalles del historial de llamadas de cualquier número (com.call.detail.caller.history) Historial de llamadas Detalles de cualquier número (com.anycallinformation.datadetailswho.callinfo.numberfinder) Historial de llamadas Detalles de cualquier número (com.callhistory.callhistoryyourgf) Historial de llamadas Cualquier número (com.calldetails.smshistory.callhistoryofanynumber) Historial de llamadas Detalles de cualquier número (com.callhistory.anynumber.chapfvor.history) Historial de llamadas de cualquier número (com.callhistory.callhistoryany.call) Detalles del historial de llamadas de cualquier número (com.name.factor) Historial de llamadas de cualquier número (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber) Historial de llamadas de cualquier número (com.chdev.callhistory) Rastreador del historial de llamadas (com.phone.call.history.tracke) Historial de llamadas – Datos de cualquier número (com.pdf.maker.pdfreader.pdfscanner) Historial de llamadas de cualquier número (com.any.numbers.calls.history) Historial de llamadas Detalles de cualquier número (com.callapp.historyero) Historial de llamadas – Datos de cualquier número (all.callhistory.detail) Historial de llamadas de cualquier número (com.easyranktools.callhistoryforanynumber) Historial de llamadas de cualquier número (com.sbpinfotech.findlocationofanynumber) Historial de llamadas de cualquier número (callhistoryeditor.callhistory.numberdetails.calleridlocator) Historial de llamadas profesional (com.all_historydownload.anynumber.callhistorybackup)
Al menos una de las aplicaciones denunciadas se publicó con el nombre de desarrollador ‘Indian gov.in’ con el objetivo de generar una falsa sensación de confianza y engañar a usuarios desprevenidos para que la descargaran.
Sin embargo, este esquema esconde un motivo nefasto: pedirle a la víctima que pague para ver los detalles del historial de llamadas y SMS del número. Una vez que se completa el pago, el usuario recibe un número de teléfono completamente fabricado y un nombre incrustado directamente en el código fuente. La evidencia sugiere que esta actividad puede haber estado activa desde al menos noviembre de 2025.
Se encontró un segundo grupo de estas aplicaciones que pedían a los usuarios que ingresaran una dirección de correo electrónico a donde se enviarían los detalles del número de teléfono. Como en el caso anterior, no se generan datos hasta que se realiza el pago.
Los pagos dependen de las suscripciones a través del sistema de facturación oficial de Google Play Store o de aplicaciones de terceros que admiten la Interfaz de pagos unificados (UPI), un sistema de pago instantáneo ampliamente utilizado en la India. Irónicamente, esta lista incluye Google Pay, PhonePe y Paytm, respaldado por Walmart. El tercer método utiliza un formulario de pago con tarjeta de pago directamente dentro de la aplicación. Los dos últimos enfoques violan las políticas de Google.
Al menos en un caso, la aplicación implementó trucos adicionales para incitar a los usuarios a pagar. Si sale de la aplicación sin realizar el pago, recibirá una notificación engañosa que afirma que el historial de llamadas de un número de teléfono en particular se envió correctamente a su dirección de correo electrónico. Al hacer clic en la notificación, el usuario accede directamente a la pantalla de suscripción.
Los planes de suscripción varían según la aplicación y oscilan entre aproximadamente $6 y $80. Los usuarios que pudieron haber sido víctimas de la estafa tuvieron que cancelar sus suscripciones después de que la aplicación fuera eliminada de Google Play Store.
Lo que hace que esta actividad sea notable es que la aplicación tiene una interfaz de usuario sencilla y no solicita permisos confidenciales. Es más, ni siquiera incluye la posibilidad de recuperar llamadas, SMS y datos de WhatsApp.
«Los usuarios que compraron una suscripción a través de la facturación oficial de Google Play pueden ser elegibles para un reembolso según la política de reembolso de Google», dijo ESET. «Las compras realizadas a través de aplicaciones de pago de terceros o el ingreso directo con tarjeta de pago no serán reembolsadas por Google y lo dejarán dependiente de un proveedor o desarrollador de pagos externo».
La divulgación se produce cuando el Grupo IB dijo que los malos actores robaron aproximadamente 2 millones de dólares de usuarios en Indonesia como parte de una campaña de fraude haciéndose pasar por la plataforma fiscal del país, CoreTax, y otras marcas confiables. Esta campaña, que comenzó en julio de 2025, está asociada con un grupo de amenazas con motivación financiera llamado GoldFactory.
«La cadena de ataque integra sitios web de phishing, ingeniería social (WhatsApp), descarga lateral de APK malicioso y phishing de voz (vishing) para comprometer todo el dispositivo y realizar transferencias no autorizadas», dijo Group-IB.
En términos generales, estos ataques implican el uso de ingeniería social para distribuir aplicaciones falsas a través de WhatsApp que, una vez instaladas, implementan malware para Android como Gigabud RAT, MMRat y Taotie que pueden recopilar datos confidenciales o descargar componentes adicionales. La información robada puede utilizarse para ataques de apropiación de cuentas y robo financiero.
«La infraestructura de malware que respalda esta campaña de fraude no se limita a un único servicio de suplantación de identidad; se ha observado que la misma infraestructura explota activamente más de 16 marcas confiables, dirigidas colectivamente a una amplia población de Indonesia, aproximadamente 287 millones de personas», dijo Group-IB.
Source link
