Des chercheurs en cybersécurité ont découvert des applications frauduleuses sur le **Google Play Store** officiel pour Android qui prétendaient faussement offrir un accès aux historiques d'appels pour n'importe quel numéro de téléphone, dans le seul but de tromper les utilisateurs pour qu'ils souscrivent à un abonnement fournissant de fausses données et entraînant une perte financière. Les 28 applications ont collectivement cumulé plus de 7,3 millions de téléchargements, dont une seule en a représenté plus de 3 millions, avant d'être retirées de la boutique d'applications officielle. L'activité, baptisée **CallPhantom** par la société slovaque de cybersécurité **ESET**, a principalement ciblé les utilisateurs d'Android en Inde et dans la région Asie-Pacifique. « Les applications incriminées, que nous avons nommées CallPhantom sur la base de leurs fausses affirmations, prétendent fournir un accès aux historiques d'appels, aux enregistrements SMS et même aux journaux d'appels WhatsApp pour n'importe quel numéro de téléphone », a déclaré Lukáš Štefanko, chercheur en sécurité chez **ESET**, dans un rapport partagé avec The Hacker News. « Pour débloquer cette fonctionnalité supposée, les utilisateurs sont invités à payer – mais tout ce qu'ils reçoivent en retour, ce sont des données générées aléatoirement. »  ### Liste des applications identifiées La liste des applications identifiées comprend : * Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber) * Call History of Any Number (com.pixelxinnovation.manager) * Call Details of Any Number (com.app.call.detail.history) * Call History Any Number Detail (sc.call.ofany.mobiledetail) * Call History Any Number Detail (com.cddhaduk.callerid.block.contact) * Call History Of Any Number (com.basehistory.historydownloading) * Call History of Any Numbers (com.call.of.any.number) * Call History Of Any Number (com.rajni.callhistory) * Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager) * Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo) * Call History Any Number detail (com.call.detail.caller.history) * Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder) * Call History Any Number Detail (com.callhistory.callhistoryyourgf) * Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber) * Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history) * Call History of Any Number (com.callhistory.callhistoryany.call) * Call History Any Number Detail (com.name.factor) * Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber) * Call History Of Any Number (com.chdev.callhistory) * Phone Call History Tracker (com.phone.call.history.tracke) * Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner) * Call History Of Any Number (com.any.numbers.calls.history) * Call History Any Number Detail (com.callapp.historyero) * Call History - Any Number Data (all.callhistory.detail) * Call History For Any Number (com.easyranktools.callhistoryforanynumber) * Call History of Numbers (com.sbpinfotech.findlocationofanynumber) * Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator) * Call History Pro (com.all_historydownload.anynumber.callhistorybackup)  ### Tactiques trompeuses Au moins une des applications signalées a été publiée sous le nom de développeur « Indian gov.in » dans le but de créer un faux sentiment de confiance et de tromper les utilisateurs peu méfiants pour qu'ils la téléchargent. Les victimes sont invitées à effectuer un paiement afin de consulter les détails de l'historique des appels et des SMS d'un numéro de téléphone. Une fois le paiement effectué, les utilisateurs reçoivent des numéros de téléphone et des noms entièrement fabriqués, directement intégrés dans le code source. Les preuves indiquent que l'activité pourrait être active depuis au moins novembre 2025. Un deuxième groupe de ces applications a été trouvé pour inciter les utilisateurs à saisir leur adresse e-mail à laquelle les détails supposés de n'importe quel numéro de téléphone seraient livrés. Comme dans le cas précédent, aucune donnée n'est générée tant qu'un paiement n'est pas effectué. ### Méthodes de paiement et violations de politique Les paiements reposent soit sur des abonnements via le système de facturation officiel du **Google Play Store**, soit via des applications tierces qui prennent en charge l'interface de paiement unifié (**UPI**), un système de paiement instantané largement utilisé en Inde. Ironiquement, cette liste comprend **Google Pay**, **PhonePe** soutenu par **Walmart**, et **Paytm**. Une troisième méthode inclut des formulaires de paiement par carte directement dans les applications. Les deux dernières approches sont en violation de la politique de **Google**. Dans au moins un cas, les applications ont mis en œuvre une astuce supplémentaire pour convaincre l'utilisateur d'effectuer un paiement. S'il quittait l'application sans effectuer de paiement, une notification trompeuse s'affichait, affirmant qu'un historique d'appels pour un certain numéro de téléphone avait été envoyé avec succès à leur adresse e-mail. Cliquer sur la notification redirige directement l'utilisateur vers un écran d'abonnement. Les plans d'abonnement varient d'une application à l'autre, allant d'environ 6 $ à 80 $. Les utilisateurs qui auraient été victimes de l'escroquerie devraient avoir vu leurs abonnements annulés après le retrait des applications du **Google Play Store**. Ce qui rend cette activité remarquable, c'est que les applications ont une interface utilisateur simple et ne demandent aucune autorisation sensible. Et pour couronner le tout, elles ne contiennent même aucune fonctionnalité pour récupérer les données d'appels, SMS ou WhatsApp. « Les utilisateurs qui se sont abonnés via la facturation officielle de **Google Play** peuvent être éligibles à des remboursements en vertu des politiques de remboursement de **Google** », a déclaré **ESET**. « Les achats effectués via des applications de paiement tierces ou par saisie directe de carte de paiement ne peuvent pas être remboursés par **Google**, laissant les utilisateurs dépendants des fournisseurs de paiement externes ou des développeurs. » ### Campagne GoldFactory Cette divulgation intervient alors que **Group-IB** a déclaré que des acteurs malveillants avaient volé environ 2 millions de dollars à des utilisateurs indonésiens dans le cadre d'une campagne de fraude impliquant l'usurpation de la plateforme fiscale du pays, CoreTax, et d'autres marques de confiance. La campagne, qui a débuté en juillet 2025, a été liée à un groupe de menaces à motivation financière appelé **GoldFactory**.  « La chaîne d'attaque intègre des sites Web de phishing, de l'ingénierie sociale (WhatsApp), du sideloading d'APK malveillants et du voice phishing (vishing) pour obtenir un compromis complet de l'appareil et l'exécution de transferts non autorisés », a déclaré **Group-IB**. À un niveau élevé, ces attaques impliquent l'utilisation de l'ingénierie sociale pour distribuer les fausses applications via WhatsApp, qui, une fois installées, déploient des malwares Android tels que **Gigabud RAT**, **MMRat** et Taotie capables de collecter des données sensibles et de télécharger des composants supplémentaires. Les informations volées sont ensuite utilisées pour mener des attaques de prise de contrôle de compte et des vols financiers. « L'infrastructure de malware soutenant cette campagne de fraude n'est pas limitée à un seul service usurpé. La même infrastructure a été observée abusant activement de plus de 16 marques de confiance, ciblant collectivement la population indonésienne plus large d'environ 287 millions de personnes », a déclaré **Group-IB**.