Pesquisadores de cibersegurança descobriram aplicativos fraudulentos na **Google Play Store** oficial para Android que alegavam falsamente oferecer acesso a históricos de chamadas para qualquer número de telefone, apenas para enganar os usuários a aderir a uma assinatura que fornecia dados falsos e resultava em perdas financeiras. Os 28 aplicativos acumularam coletivamente mais de 7,3 milhões de downloads, com um deles sozinho respondendo por mais de 3 milhões de downloads, antes de serem removidos da loja oficial de aplicativos. A atividade, codinome **CallPhantom** pela empresa eslovaca de cibersegurança **ESET**, visava principalmente usuários Android na Índia e na região mais ampla da Ásia-Pacífico. "Os aplicativos infratores, que nomeamos CallPhantom com base em suas falsas alegações, pretendem fornecer acesso a históricos de chamadas, registros de SMS e até mesmo logs de chamadas do WhatsApp para qualquer número de telefone", disse o pesquisador de segurança da **ESET**, Lukáš Štefanko, em um relatório compartilhado com The Hacker News. "Para desbloquear esse suposto recurso, os usuários são solicitados a pagar -- mas tudo o que recebem em troca são dados gerados aleatoriamente."  ### Lista de Aplicativos Identificados A lista de aplicativos identificados inclui: * Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber) * Call History of Any Number (com.pixelxinnovation.manager) * Call Details of Any Number (com.app.call.detail.history) * Call History Any Number Detail (sc.call.ofany.mobiledetail) * Call History Any Number Detail (com.cddhaduk.callerid.block.contact) * Call History Of Any Number (com.basehistory.historydownloading) * Call History of Any Numbers (com.call.of.any.number) * Call History Of Any Number (com.rajni.callhistory) * Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager) * Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo) * Call History Any Number detail (com.call.detail.caller.history) * Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder) * Call History Any Number Detail (com.callhistory.callhistoryyourgf) * Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber) * Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history) * Call History of Any Number (com.callhistory.callhistoryany.call) * Call History Any Number Detail (com.name.factor) * Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber) * Call History Of Any Number (com.chdev.callhistory) * Phone Call History Tracker (com.phone.call.history.tracke) * Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner) * Call History Of Any Number (com.any.numbers.calls.history) * Call History Any Number Detail (com.callapp.historyero) * Call History - Any Number Data (all.callhistory.detail) * Call History For Any Number (com.easyranktools.callhistoryforanynumber) * Call History of Numbers (com.sbpinfotech.findlocationofanynumber) * Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator) * Call History Pro (com.all_historydownload.anynumber.callhistorybackup)  ### Táticas Enganosas Pelo menos um dos aplicativos sinalizados foi publicado sob o nome de desenvolvedor "Indian gov.in" na tentativa de criar uma falsa sensação de confiança e enganar usuários desavisados a baixá-lo. As vítimas são solicitadas a fazer um pagamento para visualizar detalhes do histórico de chamadas e SMS de um número de telefone. Uma vez que o pagamento é feito, os usuários recebem números de telefone e nomes inteiramente fabricados, diretamente incorporados ao código-fonte. Evidências indicam que a atividade pode estar ativa desde pelo menos novembro de 2025. Um segundo grupo desses aplicativos foi encontrado solicitando que os usuários insiram seu endereço de e-mail, para o qual os supostos detalhes de qualquer número de telefone seriam entregues. Como no caso anterior, nenhum dado é gerado até que um pagamento seja feito. ### Métodos de Pagamento e Violações de Política Os pagamentos dependem de assinaturas através do sistema de faturamento oficial da **Google Play Store** ou através de aplicativos de terceiros que suportam Unified Payments Interface (**UPI**), um sistema de pagamento instantâneo amplamente utilizado na Índia. Ironicamente, esta lista inclui **Google Pay**, **PhonePe** (apoiado pela **Walmart**) e **Paytm**. Um terceiro método inclui formulários de checkout de cartão de pagamento diretamente dentro dos aplicativos. As duas últimas abordagens violam a política do **Google**. Em pelo menos um caso, os aplicativos implementaram um truque adicional para convencer o usuário a fazer um pagamento. Caso saíssem do aplicativo sem fazer nenhum pagamento, ele exibia uma notificação enganosa alegando que um histórico de chamadas para um determinado número de telefone havia sido enviado com sucesso para o endereço de e-mail deles. Clicar na notificação leva diretamente o usuário a uma tela de assinatura. Os planos de assinatura variam entre os aplicativos, indo de cerca de US$ 6 a US$ 80. Usuários que podem ter caído no golpe deveriam ter suas assinaturas canceladas após a remoção dos aplicativos da **Google Play Store**. O que torna essa atividade notável é que os aplicativos têm uma interface de usuário simples e não solicitam nenhuma permissão sensível. E para completar, eles nem sequer contêm qualquer funcionalidade para recuperar dados de chamadas, SMS ou WhatsApp. "Usuários que assinaram através do faturamento oficial do **Google Play** podem ser elegíveis para reembolsos sob as políticas de reembolso do **Google**", disse a **ESET**. "Compras feitas através de aplicativos de pagamento de terceiros ou através de entrada direta de cartão de pagamento não podem ser reembolsadas pelo **Google**, deixando os usuários dependentes de provedores de pagamento externos ou desenvolvedores." ### Campanha GoldFactory A divulgação ocorre enquanto a **Group-IB** informou que criminosos roubaram cerca de US$ 2 milhões de usuários indonésios como parte de uma campanha de fraude que envolvia se passar pela plataforma tributária do país, CoreTax, e outras marcas confiáveis. A campanha, que começou em julho de 2025, foi ligada a um grupo de ameaças com motivação financeira chamado **GoldFactory**.  "A cadeia de ataque integra sites de **phishing**, engenharia social (WhatsApp), sideloading de APK malicioso e **phishing** de voz (vishing) para alcançar o comprometimento total do dispositivo e a execução não autorizada de transferências", disse a **Group-IB**. Em um nível geral, esses ataques envolvem o uso de engenharia social para distribuir os aplicativos falsos via WhatsApp, que, quando instalados, implantam **malware** Android como **Gigabud RAT**, **MMRat** e Taotie, capazes de coletar dados sensíveis e baixar componentes adicionais. As informações roubadas são então usadas para realizar ataques de tomada de conta e roubo financeiro. "A infraestrutura de **malware** que suporta esta campanha de fraude não se limita a um único serviço impersonado. A mesma infraestrutura foi observada abusando ativamente de mais de 16 marcas confiáveis, visando coletivamente a população mais ampla da Indonésia, de aproximadamente 287 milhões", disse a **Group-IB**.