サイバーセキュリティ研究者らが、公式の**Google Play ストア**で、任意の電話番号の通話履歴へのアクセスを偽って謳い、偽のデータと金銭的損失をもたらす購読にユーザーを誘導する不正なAndroidアプリを発見しました。 これらの28件のアプリは、公式ストアから削除されるまでに合計730万回以上ダウンロードされており、そのうちの1件だけでも300万回以上のダウンロードを記録していました。スロバキアのサイバーセキュリティ企業**ESET**によって**CallPhantom**と名付けられたこの活動は、主にインドおよび広範なアジア太平洋地域のAndroidユーザーを標的としていました。 「我々がその偽の主張に基づいてCallPhantomと名付けた問題のアプリは、通話履歴、SMS記録、さらには任意の電話番号のWhatsApp通話ログへのアクセスを提供すると謳っています」と、**ESET**のセキュリティ研究者であるLukáš Štefanko氏は、The Hacker Newsに共有されたレポートで述べています。「この機能を利用するにはユーザーは支払いをするよう求められますが、その見返りに得られるのはランダムに生成されたデータだけです。」  ### 特定されたアプリのリスト 特定されたアプリのリストは以下の通りです。 * Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber) * Call History of Any Number (com.pixelxinnovation.manager) * Call Details of Any Number (com.app.call.detail.history) * Call History Any Number Detail (sc.call.ofany.mobiledetail) * Call History Any Number Detail (com.cddhaduk.callerid.block.contact) * Call History Of Any Number (com.basehistory.historydownloading) * Call History of Any Numbers (com.call.of.any.number) * Call History Of Any Number (com.rajni.callhistory) * Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager) * Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo) * Call History Any Number detail (com.call.detail.caller.history) * Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder) * Call History Any Number Detail (com.callhistory.callhistoryyourgf) * Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber) * Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history) * Call History of Any Number (com.callhistory.callhistoryany.call) * Call History Any Number Detail (com.name.factor) * Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber) * Call History Of Any Number (com.chdev.callhistory) * Phone Call History Tracker (com.phone.call.history.tracke) * Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner) * Call History Of Any Number (com.any.numbers.calls.history) * Call History Any Number Detail (com.callapp.historyero) * Call History - Any Number Data (all.callhistory.detail) * Call History For Any Number (com.easyranktools.callhistoryforanynumber) * Call History of Numbers (com.sbpinfotech.findlocationofanynumber) * Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator) * Call History Pro (com.all_historydownload.anynumber.callhistorybackup)  ### 手法 特定されたアプリの少なくとも1つは、「Indian gov.in」という開発者名で公開されており、偽の信頼性を構築し、ユーザーを騙してダウンロードさせることを狙っていました。 被害者は、電話番号の通話履歴やSMS履歴の詳細を表示するために支払いを求められます。支払いが完了すると、ユーザーにはソースコードに直接埋め込まれた、完全に偽造された電話番号と名前が表示されます。この活動は少なくとも2025年11月から活動していた可能性を示す証拠があります。 これらのアプリの2番目のクラスターでは、ユーザーにメールアドレスを入力させ、そこに任意の電話番号の詳細が送信されると謳っていました。以前のケースと同様に、支払いが行われるまでデータは生成されません。 ### 支払い方法とポリシー違反 支払いは、**Google Play ストア**の公式請求システムを通じた購読、またはインドで広く使用されている即時支払いシステムであるUnified Payments Interface (**UPI**)をサポートするサードパーティアプリを通じて行われました。皮肉なことに、これには**Google Pay**、**Walmart**傘下の**PhonePe**、**Paytm**が含まれていました。3番目の方法として、アプリ内で直接支払いカードのチェックアウトフォームが使用されました。最後の2つのアプローチは、**Google**のポリシーに違反しています。 少なくとも1つのケースでは、アプリはユーザーに支払いをさせるために追加のトリックを実装していました。支払いをせずにアプリを終了した場合、特定の電話番号の通話履歴がメールアドレスに正常に送信されたと主張する欺瞞的な通知が表示されます。通知をクリックすると、直接購読画面に遷移します。 購読プランはアプリによって異なり、約6ドルから80ドルの範囲でした。この詐欺の被害に遭ったユーザーは、アプリが**Google Play ストア**から削除された後、購読がキャンセルされているはずです。 この活動が注目に値するのは、アプリのユーザーインターフェースがシンプルで、機密性の高い権限を要求しないことです。さらに、通話、SMS、またはWhatsAppデータを取得する機能さえ含まれていません。 「公式の**Google Play**請求を通じて購読したユーザーは、**Google**の払い戻しポリシーの下で払い戻しの対象となる可能性があります」と**ESET**は述べています。「サードパーティの支払いアプリまたは直接の支払いカード入力による購入は、**Google**によって払い戻しできず、ユーザーは外部の支払いプロバイダーまたは開発者に依存することになります。」 ### GoldFactoryキャンペーン この開示は、**Group-IB**が、インドネシアのユーザーから推定200万ドルが盗まれたと発表したのと同時期に行われました。この詐欺キャンペーンは、同国の税務プラットフォームであるCoreTaxやその他の信頼できるブランドになりすましていました。2025年7月に開始されたこのキャンペーンは、**GoldFactory**と呼ばれる金銭目的の脅威クラスターに関連付けられています。  「攻撃チェーンは、フィッシングウェブサイト、ソーシャルエンジニアリング（WhatsApp）、悪意のあるAPKのサイドローディング、およびボイスフィッシング（vishing）を統合して、完全なデバイス侵害と不正な送金実行を達成します」と**Group-IB**は述べています。 大まかに言うと、これらの攻撃はソーシャルエンジニアリングを使用してWhatsApp経由で偽アプリを配布し、インストールされると、**Gigabud RAT**、**MMRat**、TaotieなどのAndroidマルウェアを展開して機密データを収集し、追加コンポーネントをダウンロードします。盗まれた情報は、アカウント乗っ取り攻撃と金融詐欺に使用されます。 「この詐欺キャンペーンをサポートするマルウェアインフラストラクチャは、単一のなりすましサービスに限定されません。同じインフラストラクチャが、16以上の信頼できるブランドを積極的に悪用していることが観察されており、合計で約2億8700万人のインドネシアの広範な人口を標的にしています」と**Group-IB**は述べています。