07.05.2026
1 хв
196
У Google Play виявили десятки Android-застосунків, які обіцяли показати історію чужих дзвінків, SMS та WhatsApp-активність. Насправді сервіси просто генерували фейкові дані та виманювали гроші через платні підписки.
Дослідники з ESET викрили масштабну кампанію CallPhantom, у межах якої десятки Android-додатків у Google Play видавали себе за сервіси для перегляду чужої історії дзвінків, SMS та WhatsApp-логів. Насправді користувачам показували вигадані дані, а головною метою була оплата дорогих підписок.
Загалом фахівці виявили 28 застосунків, які разом набрали понад 7,3 мільйона завантажень. Один із них зміг перевищити позначку у 3 мільйони встановлень ще до видалення з Google Play. Основною ціллю кампанії стали користувачі з Індії та інших країн Азіатсько-Тихоокеанського регіону.
Як пояснив дослідник ESET Лукаш Штефанко, усі ці програми обіцяли доступ до історії дзвінків будь-якого номера телефону, SMS-записів і навіть журналів дзвінків WhatsApp. Після введення номера користувачеві пропонували оплатити підписку, щоб “розблокувати” інформацію. Але після оплати люди отримували лише випадково згенеровані дані.
“Програми-порушники, які ми назвали CallPhantom на основі їхніх неправдивих заяв, нібито надають доступ до історії дзвінків, записів SMS і навіть журналів дзвінків WhatsApp для будь-якого номера телефону”, заявив Штефанко.
“Щоб розблокувати цю нібито функцію, користувачів просять заплатити, але все, що вони отримують натомість, – це випадково згенеровані дані”.
Серед виявлених застосунків були десятки варіацій із майже однаковими назвами: “Call History of Any Number”, “Call Details of Any Number”, “Phone Call History Tracker” та інші. Один із додатків навіть був опублікований від імені “Indian gov.in”, щоб створити враження офіційного державного сервісу та викликати довіру.
Розслідування показало, що жоден із застосунків насправді не мав доступу до чужих дзвінків чи повідомлень. Уся “інформація” була зашита прямо у вихідний код програм. Після оплати користувачам показували фіксовані імена, випадкові номери телефонів та підроблені записи викликів.
Деякі додатки працювали за іншою схемою. Вони просили ввести адресу електронної пошти та обіцяли надіслати на неї детальну історію дзвінків певного номера. Але і в цьому випадку доступ до “даних” відкривався лише після оплати, а самі результати були вигаданими.
Оплата проходила кількома способами. Частина програм використовувала офіційну систему підписок Google Play, але інші обходили правила магазину та приймали гроші через сторонні сервіси UPI, популярні в Індії. Серед них були Google Pay, PhonePe та Paytm. Деякі застосунки навіть дозволяли вводити дані банківських карток прямо всередині програми, що прямо порушує політику Google.
В одному з випадків шахраї використали додатковий психологічний трюк. Якщо людина закривала застосунок без оплати, їй надходило фальшиве сповіщення про те, що історію дзвінків уже “успішно відправлено” на електронну пошту. Натискання на повідомлення перекидало користувача назад на сторінку оформлення підписки.
Ціни на підписки суттєво відрізнялися залежно від застосунку та коливалися від 6 до 80 доларів. ESET радить усім, хто встановлював ці програми, перевірити активні підписки та скасувати їх.
Цікаво, що застосунки не вимагали небезпечних дозволів і мали дуже простий інтерфейс. Саме це могло допомогти їм довше залишатися непоміченими та створювати враження “безпечних” сервісів.
У ESET також наголосили, що користувачі, які оплачували підписки через офіційну систему Google Play, можуть спробувати повернути гроші через політику відшкодування Google. Але ті, хто платив через сторонні сервіси або вводив дані картки безпосередньо в додатках, фактично залишаються залежними від платіжних провайдерів або самих розробників.
На тлі цього звіту Group-IB повідомила ще про одну масштабну фінансову кампанію в Індонезії. За даними компанії, зловмисники викрали близько 2 мільйонів доларів, видаючи себе за державну податкову платформу CoreTax та інші відомі бренди.
Кампанію, яка триває щонайменше з липня 2025 року, пов’язують із групою GoldFactory. Атаки поєднували фішингові сайти, соціальну інженерію через WhatsApp, встановлення шкідливих APK-файлів та голосовий фішинг.
За словами Group-IB, жертв переконували встановлювати фальшиві Android-додатки, які заражали пристрої шкідливим ПЗ Gigabud RAT, MMRat і Taotie. Ці програми могли збирати конфіденційні дані, завантажувати додаткові компоненти та використовувались для крадіжки акаунтів і грошей.
Дослідники зазначають, що інфраструктура кампанії не обмежувалася одним брендом. За їхніми словами, зловмисники використовували щонайменше 16 різних популярних сервісів і платформ, намагаючись охопити максимально широку аудиторію в Індонезії з населенням близько 287 мільйонів людей.
