Investigadores de ciberseguridad detectaron 28 aplicaciones fraudulentas en Google Play que engañaban a los usuarios prometiendo acceso al historial de llamadas y SMS. Estas apps, dirigidas principalmente a Asia-Pacífico, cobraban suscripciones de entre 6 y 80 dólares a cambio de entregar datos falsos y generados al azar. Las aplicaciones ya fueron eliminadas de la tienda oficial tras acumular más de 7.3 millones de descargas.





Investigadores de ciberseguridad han descubierto aplicaciones fraudulentas en la tienda oficial Google Play Store para Android que afirmaban falsamente ofrecer acceso al historial de llamadas de cualquier número de teléfono, solo para engañar a los usuarios para que se unieran a una suscripción que proporcionaba datos falsos y generaba pérdidas financieras.

Las 28 aplicaciones han acumulado colectivamente más de 7,3 millones de descargas, una de ellas por sí sola más de 3 millones, antes de ser retiradas de la tienda oficial. La actividad, denominada CallPhantom por la empresa eslovaca de ciberseguridad ESET, se dirigió principalmente a usuarios de Android en India y en la región Asia-Pacífico en general.

"Las aplicaciones infractoras, que denominamos CallPhantom basándonos en sus afirmaciones falsas, pretenden proporcionar acceso a historiales de llamadas, registros de SMS e incluso registros de llamadas de WhatsApp para cualquier número de teléfono", dijo el investigador de seguridad de ESET Lukáš Štefanko en un informe compartido con este enlace. "Para desbloquear esta supuesta función, se pide a los usuarios que paguen, pero todo lo que reciben a cambio son datos generados aleatoriamente".

La lista de aplicaciones identificadas es la siguiente:

• * Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber)
• * Call History of Any Number (com.pixelxinnovation.manager)
• * Call Details of Any Number (com.app.call.detail.history)
• * Call History Any Number Detail (sc.call.ofany.mobiledetail)
• * Call History Any Number Detail (com.cddhaduk.callerid.block.contact)
• * Call History Of Any Number (com.basehistory.historydownloading)
• * Call History of Any Numbers (com.call.of.any.number)
• * Call History Of Any Number (com.rajni.callhistory)
• * Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager)
• * Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo)
• * Call History Any Number detail (com.call.detail.caller.history)
• * Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder)
• * Call History Any Number Detail (com.callhistory.callhistoryyourgf)
• * Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber)
• * Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history)
• * Call History of Any Number (com.callhistory.callhistoryany.call)
• * Call History Any Number Detail (com.name.factor)
• * Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber)
• * Call History Of Any Number (com.chdev.callhistory)
• * Phone Call History Tracker (com.phone.call.history.tracke)
• * Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner)
• * Call History Of Any Number (com.any.numbers.calls.history)
• * Call History Any Number Detail (com.callapp.historyero)
• * Call History - Any Number Data (all.callhistory.detail)
• * Call History For Any Number (com.easyranktools.callhistoryforanynumber)
• * Call History of Numbers (com.sbpinfotech.findlocationofanynumber)
• * Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator)
• * Call History Pro (com.all_historydownload.anynumber.callhistorybackup)

Al menos una de las aplicaciones marcadas fue publicada bajo el nombre de desarrollador "Indian gov.in" en un intento de crear una falsa sensación de confianza y engañar a los usuarios para que la descargaran.

Sin embargo, este truco oculta un motivo nefasto donde se pide a las víctimas realizar un pago para ver los detalles del historial de llamadas y SMS de un número de teléfono. Una vez realizado el pago, los usuarios reciben números de teléfono y nombres completamente fabricados e incrustados directamente en el código fuente. Las pruebas indican que la actividad puede haber estado activa desde al menos noviembre de 2025 (enlace).

Un segundo grupo de estas aplicaciones ha solicitado a los usuarios que introduzcan su dirección de correo electrónico para recibir los supuestos detalles de cualquier número de teléfono. Al igual que en el caso anterior, no se generan datos hasta que se realiza un pago.

Los pagos se basan en suscripciones a través del sistema de facturación oficial de Google Play Store o mediante aplicaciones de terceros que admiten la Interfaz de Pagos Unificada (UPI), un sistema de pago instantáneo ampliamente utilizado en India. Irónicamente, esta lista incluye Google Pay, PhonePe (respaldada por Walmart) y Paytm. Un tercer método incluye formularios de pago con tarjeta directamente dentro de las aplicaciones. Estos dos últimos enfoques incumplen la política de Google.

En al menos un caso, las aplicaciones implementaron un truco adicional para convencer al usuario de realizar el pago. Si salían de la aplicación sin pagar, se mostraba una notificación engañosa afirmando que el historial de llamadas de un determinado número había sido enviado con éxito a su correo electrónico. Al hacer clic en la notificación, el usuario era dirigido directamente a una pantalla de suscripción.

Los planes de suscripción varían según la aplicación, oscilando entre unos 6 y 80 dólares. Los usuarios que hayan caído en la estafa deberían haber cancelado sus suscripciones (enlace) después de que las aplicaciones fueran eliminadas de Google Play Store.

Lo que hace notable esta actividad es que las aplicaciones tienen una interfaz de usuario simple y no solicitan permisos sensibles. Y para colmo, ni siquiera contienen ninguna funcionalidad para recuperar datos de llamadas, SMS o WhatsApp.

"Los usuarios que se suscribieron a través de la facturación oficial de Google Play pueden ser elegibles para reembolsos bajo las políticas de reembolso de Google", dijo ESET. "Las compras realizadas a través de aplicaciones de pago de terceros o mediante la entrada directa de la tarjeta de pago no pueden ser reembolsadas por Google, dejando a los usuarios dependientes de los proveedores de pago externos o de los desarrolladores".

La revelación llega mientras Group-IB afirmaba que actores maliciosos han robado un estimado de 2 millones de dólares a usuarios indonesios como parte de una campaña de fraude que consistía en hacerse pasar por la plataforma fiscal del país, CoreTax, y otras marcas confiables. La campaña, que comenzó en julio de 2025, ha sido vinculada a un grupo de amenazas motivadas financieramente llamado GoldFactory.



"La cadena de ataque integra sitios web de phishing, ingeniería social (WhatsApp), carga lateral de APK maliciosos y phishing de voz (vishing) para lograr el compromiso total del dispositivo y la ejecución de transferencias no autorizadas", dijo Group-IB (enlace).

A nivel general, estos ataques implican el uso de ingeniería social para distribuir aplicaciones falsas a través de WhatsApp que, al instalarse, despliegan malware de Android como Gigabud RAT, MMRat y Taotie, capaces de recolectar datos sensibles y descargar componentes adicionales. La información robada se utiliza entonces para llevar a cabo ataques de toma de control de cuentas y robos financieros.

"La infraestructura de malware que soporta esta campaña de fraude no se limita a un solo servicio suplantado. Se ha observado que la misma infraestructura abusa activamente de más de 16 marcas confiables, dirigiéndose colectivamente a la población general de Indonesia de aproximadamente 287 millones", afirmó Group-IB.

Fuente:
THN