El equipo de investigación de ESET identificó 28 aplicaciones disponibles en Google Play que prometían acceder al historial de llamadas, registros de SMS e incluso logs de llamadas de WhatsApp de “cualquier número” de teléfono. El esquema se apoyaba en una promesa técnicamente inviable y buscaba que los usuarios pagaran para “desbloquear” una funcionalidad inexistente. En conjunto, las apps superaron los 7,3 millones de descargas.
ESET agrupó estas aplicaciones bajo el nombre CallPhantom, en alusión a que la capacidad ofrecida no existe. La mecánica consistía en solicitar un pago o una suscripción y, recién después, mostrar supuestos resultados. El análisis técnico determinó que la información entregada no correspondía a datos reales: se generaban números de teléfono aleatorios y se combinaban con nombres, horarios de llamadas y duraciones predefinidos, incorporados directamente en el código.
En noviembre de 2025, la compañía analizó una aplicación llamada Call History of Any Number, que se encontraba publicada en Google Play. Según el relevamiento, la app afirmaba recuperar el historial de llamadas de cualquier número aportado por el usuario y figuraba bajo el nombre de desarrollador Indian gov.in. Sin embargo, la aplicación “no tiene ninguna asociación real con el gobierno de India”. En su ficha dentro de la tienda se incluía una captura de pantalla presentada como demostración, que correspondía a registros fabricados.
Tras ampliar el trabajo, el equipo reportó el conjunto completo de aplicaciones fraudulentas a Google el 16 de diciembre de 2025. Al momento de la publicación del informe, todas las apps reportadas ya habían sido eliminadas de la tienda. Como socios de App Defense Alliance, los investigadores elevaron los hallazgos para su tratamiento.
El foco de la campaña se orientó principalmente a usuarios de Android en India y, en general, en la región de Asia-Pacífico. Varias aplicaciones incluían preseleccionado el código de país +91 y admitían UPI, un sistema de pagos utilizado principalmente en ese país. Las reseñas negativas acumuladas en las fichas de las apps describían un patrón consistente: víctimas que reportaban haber pagado sin recibir los datos prometidos.
“No está claro cómo se distribuyeron o promocionaron las aplicaciones. Presumiblemente, al aparentar ofrecer acceso a información privada, los estafadores lograron aprovechar la curiosidad de los usuarios.”, dijo el equipo de investigación de ESET.
El relevamiento también identificó tres modalidades de cobro. Algunas aplicaciones utilizaron suscripciones mediante el sistema oficial de facturación de Google Play, mecanismo cubierto por la protección de reembolso de Google. Otras recurrieron a pagos con aplicaciones de terceros compatibles con UPI, mediante URLs codificadas o obtenidas desde una base de datos en tiempo real de Firebase, lo que permitía modificar la cuenta receptora. Un tercer grupo incorporó formularios de pago con tarjeta dentro de la propia aplicación.
“Nuestro análisis reveló que los “resultados” mostrados a las víctimas son completamente fabricados”, dijo el equipo de investigación de ESET.
