Обнаружена сеть мошеннических приложений CallPhantom на Android

В ноябре 2025 года специалисты наткнулись на обсуждение в социальной сети Reddit, где пользователи жаловались на приложение Call History of Any Number. Оно обещало предоставить полную историю звонков для любого телефонного номера. Разработчик был указан как Indian gov.in, однако никакого отношения к индийскому правительству программа не имела. Анализ показал, что приложение не способно получать реальные данные. Вместо этого в его коде были жестко прописаны вымышленные номера, имена абонентов, даты и продолжительность разговоров. Пользователю показывали сгенерированные случайным образом сведения, но только после оплаты.

Всего под видом полезных утилит ESET выявила 28 мошеннических программ под общим названием CallPhantom. Совокупное количество установок превысило 7,3 миллиона. Специалисты передали информацию в Google, и компания оперативно удалила все приложения из каталога.

При внешних различиях в оформлении все программы работали по одинаковому принципу. Они обещали доступ к журналам вызовов, текстовым сообщениям и даже истории звонков в мессенджере WhatsApp. В реальности никакой функциональности для получения подобных данных в них не было. Большинство приложений было нацелено на жителей Индии и стран Азиатско-Тихоокеанского региона. В настройках по умолчанию был выбран индийский код страны +91, а в качестве способа оплаты использовалась система UPI, популярная именно в Индии.

Неудивительно, что пользователи оставляли негативные отзывы, сообщая о мошенничестве. Тем не менее злоумышленники, вероятно, использовали поддельные положительные комментарии, чтобы вызвать доверие. Исследователи выделили два основных типа таких программ. В первом случае в коде хранились готовые шаблоны с именами и кодами стран. Программа генерировала случайные номера и показывала часть "результатов" бесплатно. Чтобы увидеть полный список, требовалось заплатить. Во втором случае программа просила ввести адрес электронной почты, куда якобы придет отчет. Оплата требовалась до того, как письмо будет отправлено, но никаких реальных данных оно не содержало.

Особого внимания заслуживают методы оплаты, которые использовали мошенники. Часть приложений полагалась на стандартную платежную систему Google Play. Такие подписки защищены правилами магазина, и пользователи могут рассчитывать на возврат средств. Однако некоторые программы обходили официальную систему. Они либо встраивали ссылки на сторонние платежные сервисы, поддерживающие UPI, либо подгружали эти ссылки динамически из базы данных Firebase. Это означало, что злоумышленники могли в любой момент сменить счет для получения денег. В отдельных случаях форма для ввода данных банковской карты была встроена прямо в приложение, что грубо нарушало политику Google Play.

Для того чтобы заставить человека заплатить, разработчики использовали психологические уловки. Если пользователь пытался выйти из приложения, не совершив платеж, программа показывала обманное уведомление, стилизованное под новое письмо о том, что результаты готовы. Нажатие на это уведомление вело прямиком на экран оформления подписки.

Стоимость услуг варьировалась. Самая низкая цена подписки составляла в среднем около 5 евро. Максимальная запрашиваемая сумма достигала 80 долларов США. Предлагались еженедельные, ежемесячные и годовые тарифы.

Те пользователи, которые оформили подписку через официальный биллинг Google Play, могут попытаться отменить её в настройках своего аккаунта. После удаления программ из магазина все активные подписки были аннулированы. В некоторых случаях Google может вернуть деньги, но это зависит от времени обращения и политики компании. Сложнее всего тем, кто заплатил через сторонние сервисы или ввел данные карты внутри приложения. Google не может отменить такие подписки или вернуть средства. Пострадавшим придется обращаться напрямую к своему банку или в платежную систему.

Эта история в очередной раз напоминает о простом правиле: если предложение выглядит слишком заманчивым, чтобы быть правдой, скорее всего, это обман. Технически невозможно получить доступ к чужим звонкам и сообщениям через приложение из магазина, не имея физического доступа к устройству жертвы. Мошенники просто сыграли на человеческом любопытстве и желании узнать чужую тайну, собрав многомиллионный урожай с доверчивых пользователей.

IPv4

• 34.120.160.131
• 34.120.206.254

Domains

• call-history-7cda4-default-rtdb.firebaseio.com
• call-history-ecc1e-default-rtdb.firebaseio.com
• ch-ap-4-default-rtdb.firebaseio.com
• chh1-ac0a3-default-rtdb.firebaseio.com

SHA1

• 04d2221967ffc4312afdc9b06a0b923bf3579e93
• 053a6a723fa2bfda8a1b113e8a98dd04c6eef72a
• 28d3f36bd43d48f02c5058edd1509e4488112154
• 34393950a950f5651f3f7811b815b5a21f84a84b
• 45d04e06d8b329a01e680539d798dd3ae68904da
• 47cee9ded41b953a84fc9f6ed556ec3af5bd9345
• 4b537a7152179bba19d63c9ef287f1ac366ab5cb
• 55d46813047e98879901fd2416a23acf8d8828f5
• 56a4fd71d1e4bba2c5c240be0d794dcff709d9eb
• 583d0e7113795c7d68686d37ce7a41535cf56960
• 6f72ff58a67ef7aaa79ce2342012326c7b46429d
• 77c8b7bec79e7d9ae0d0c02dec4e9ac510429ad8
• 799bb5127ca54239d3d4a14367db3b712012cf14
• 87f6b2db155192692bad1f26f6aebb04dbf23aad
• 89ecec01ccb15fcdd2f64e07d0e876a9e79dd3ce
• 8ec557302145b40fe0898105752fff5e357d7ac9
• 9199a376b433f888afe962c9bbd991622e8d39f9
• 9484efd4c19969f57afb0c21e6e1a4249c209305
• b7b80fa34a41e3259e377c0d843643ff736803b8
• bb6260ca856c37885bf9e952ca3d7e95398ddabf
• c840a85b5fbaf1ed3e0f18a10a6520b337a94d4c
• cb31ed027fadbfa3bffdbc8a84ee1a48a0b7c11d
• ce97ca7feecdcafc6b8e9bd83a370dfa5c336c0a
• d021e7a0cf45eecc7ee8f57149138725dc77dc9a
• e23d3905443cdbf4f1b9ca84a6ff250b6d89e093
• ec5e470753e76614cd28ecf6a3591f08770b7215
• f0a8ebd7c4179636be752eccfc6bd9e4cd5c7f2c
• fc3ba2edac0bb9801f8535e36f0bcc49ada5fa5a