Cybersicherheitsforscher haben betrügerische Apps im offiziellen **Google Play Store** für Android entdeckt, die fälschlicherweise behaupteten, Zugriff auf Anruflisten für jede Telefonnummer zu bieten, nur um Nutzer dazu zu verleiten, ein Abonnement abzuschließen, das gefälschte Daten lieferte und zu finanziellen Verlusten führte. Die 28 Apps verzeichneten insgesamt über 7,3 Millionen Downloads, wobei eine davon allein für über 3 Millionen Downloads verantwortlich war, bevor sie aus dem offiziellen App-Store entfernt wurden. Die Aktivität, die von der slowakischen Cybersicherheitsfirma **ESET** den Codenamen **CallPhantom** erhielt, richtete sich hauptsächlich an Android-Nutzer in Indien und der breiteren asiatisch-pazifischen Region. „Die beanstandeten Apps, die wir CallPhantom nannten, basierend auf ihren falschen Behauptungen, geben vor, Zugriff auf Anruflisten, SMS-Aufzeichnungen und sogar WhatsApp-Anrufprotokolle für jede Telefonnummer zu bieten“, sagte **ESET**-Sicherheitsforscher Lukáš Štefanko in einem Bericht, der mit The Hacker News geteilt wurde. „Um diese angebliche Funktion freizuschalten, werden die Nutzer gebeten zu bezahlen – aber alles, was sie im Gegenzug erhalten, sind zufällig generierte Daten.“  ### Liste der identifizierten Apps Die Liste der identifizierten Apps umfasst: * Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber) * Call History of Any Number (com.pixelxinnovation.manager) * Call Details of Any Number (com.app.call.detail.history) * Call History Any Number Detail (sc.call.ofany.mobiledetail) * Call History Any Number Detail (com.cddhaduk.callerid.block.contact) * Call History Of Any Number (com.basehistory.historydownloading) * Call History of Any Numbers (com.call.of.any.number) * Call History Of Any Number (com.rajni.callhistory) * Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager) * Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo) * Call History Any Number detail (com.call.detail.caller.history) * Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder) * Call History Any Number Detail (com.callhistory.callhistoryyourgf) * Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber) * Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history) * Call History of Any Number (com.callhistory.callhistoryany.call) * Call History Any Number Detail (com.name.factor) * Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber) * Call History Of Any Number (com.chdev.callhistory) * Phone Call History Tracker (com.phone.call.history.tracke) * Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner) * Call History Of Any Number (com.any.numbers.calls.history) * Call History Any Number Detail (com.callapp.historyero) * Call History - Any Number Data (all.callhistory.detail) * Call History For Any Number (com.easyranktools.callhistoryforanynumber) * Call History of Numbers (com.sbpinfotech.findlocationofanynumber) * Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator) * Call History Pro (com.all_historydownload.anynumber.callhistorybackup)  ### Irreführende Taktiken Mindestens eine der markierten Apps wurde unter dem Entwicklernamen „Indian gov.in“ veröffentlicht, um ein falsches Gefühl von Vertrauen aufzubauen und ahnungslose Nutzer zum Herunterladen zu verleiten. Opfer werden aufgefordert, eine Zahlung zu leisten, um Details zur Anruf- und SMS-Historie einer Telefonnummer einzusehen. Sobald die Zahlung erfolgt ist, werden den Nutzern vollständig gefälschte Telefonnummern und Namen angezeigt, die direkt in den Quellcode eingebettet sind. Beweise deuten darauf hin, dass die Aktivität mindestens seit November 2025 aktiv war. Eine zweite Gruppe dieser Apps fordert die Nutzer auf, ihre E-Mail-Adresse einzugeben, an die die angeblichen Details jeder Telefonnummer geliefert werden sollen. Wie im vorherigen Fall werden keine Daten generiert, bis eine Zahlung erfolgt ist. ### Zahlungsmethoden und Richtlinienverstöße Die Zahlungen erfolgen entweder über Abonnements über das offizielle Abrechnungssystem des **Google Play Store** oder über Drittanbieter-Apps, die Unified Payments Interface (**UPI**) unterstützen, ein Sofortzahlungssystem, das in Indien weit verbreitet ist. Ironischerweise umfasst diese Liste **Google Pay**, das von **Walmart** unterstützte **PhonePe** und **Paytm**. Eine dritte Methode umfasst direkt in den Apps integrierte Zahlungskarten-Checkout-Formulare. Die letzten beiden Ansätze verstoßen gegen die Richtlinien von **Google**. In mindestens einem Fall implementierten die Apps einen zusätzlichen Trick, um den Nutzer zur Zahlung zu überreden. Wenn sie die App ohne Zahlung verlassen, wird eine irreführende Benachrichtigung angezeigt, die behauptet, dass eine Anrufliste für eine bestimmte Telefonnummer erfolgreich an ihre E-Mail-Adresse gesendet wurde. Das Klicken auf die Benachrichtigung führt direkt zu einem Abonnementbildschirm. Die Abonnementpläne variieren je nach App und reichen von etwa 6 bis 80 US-Dollar. Nutzer, die dem Betrug zum Opfer gefallen sein könnten, hätten ihre Abonnements nach der Entfernung der Apps aus dem **Google Play Store** kündigen können. Bemerkenswert an dieser Aktivität ist, dass die Apps eine einfache Benutzeroberfläche haben und keine sensiblen Berechtigungen anfordern. Und zu allem Überfluss enthalten sie nicht einmal eine Funktionalität zum Abrufen von Anruf-, SMS- oder WhatsApp-Daten. „Nutzer, die über die offizielle **Google Play**-Abrechnung abonniert haben, haben möglicherweise Anspruch auf Rückerstattungen gemäß den Rückerstattungsrichtlinien von **Google**“, sagte **ESET**. „Käufe, die über Drittanbieter-Zahlungs-Apps oder durch direkte Zahlung per Kreditkarte getätigt wurden, können von **Google** nicht erstattet werden, sodass die Nutzer von externen Zahlungsanbietern oder Entwicklern abhängig sind.“ ### GoldFactory-Kampagne Die Enthüllung erfolgt, während **Group-IB** mitteilte, dass Kriminelle schätzungsweise 2 Millionen US-Dollar von indonesischen Nutzern gestohlen haben, als Teil einer Betrugskampagne, bei der sie sich als die Steuerplattform des Landes, CoreTax, und andere vertrauenswürdige Marken ausgaben. Die Kampagne, die im Juli 2025 begann, wurde mit einer finanziell motivierten Bedrohungsgruppe namens **GoldFactory** in Verbindung gebracht.  „Die Angriffskette integriert Phishing-Websites, Social Engineering (WhatsApp), bösartiges APK-Sideloading und Voice-Phishing (Vishing), um eine vollständige Gerätekompromittierung und unbefugte Transaktionsausführung zu erreichen“, sagte **Group-IB**. Im Wesentlichen beinhalten diese Angriffe die Nutzung von Social Engineering, um die gefälschten Apps über WhatsApp zu verbreiten, die nach der Installation Android-Malware wie **Gigabud RAT**, **MMRat** und Taotie bereitstellen, die sensible Daten sammeln und zusätzliche Komponenten herunterladen können. Die gestohlenen Informationen werden dann verwendet, um Account-Übernahmeangriffe und finanziellen Diebstahl durchzuführen. „Die Malware-Infrastruktur, die diese Betrugskampagne unterstützt, beschränkt sich nicht auf einen einzigen nachgeahmten Dienst. Dieselbe Infrastruktur wurde beobachtet, wie sie aktiv mehr als 16 vertrauenswürdige Marken missbraucht und kollektiv die breitere Bevölkerung Indonesiens von etwa 287 Millionen Menschen ins Visier nimmt“, sagte **Group-IB**.