ESET descubrió 28 aplicaciones fraudulentas en Google Play que prometían acceso al historial de llamadas y mensajes de cualquier número telefónico. Las apps, conocidas como CallPhantom, acumulaban más de 7,3 millones de descargas antes de ser eliminadas por Google.
ESET alertó sobre una campaña fraudulenta en Google Play que utilizaba aplicaciones falsas para prometer acceso al historial de llamadas, mensajes SMS y registros de WhatsApp de cualquier número telefónico.
La investigación identificó un total de 28 aplicaciones fraudulentas, bautizadas por ESET como CallPhantom, que en conjunto superaron las 7,3 millones de descargas antes de ser eliminadas de la tienda oficial de Android.
Aplicaciones prometían espiar llamadas y mensajes de cualquier número
Según explicó ESET, estas aplicaciones aseguraban ofrecer acceso a información privada de terceros, incluyendo historiales de llamadas, registros SMS e incluso supuestos logs de llamadas de WhatsApp.
Para desbloquear estas funciones, las apps solicitaban pagos o suscripciones a los usuarios. Sin embargo, el análisis reveló que toda la información mostrada era completamente falsa y generada aleatoriamente.
Una de las aplicaciones analizadas, llamada Call History of Any Number, afirmaba poder recuperar el historial telefónico de cualquier persona y se presentaba bajo el nombre “Indian gov.in”, intentando aparentar una falsa relación con el gobierno de India.
ESET descubrió que los datos eran completamente fabricados
El equipo de investigación de ESET determinó que las aplicaciones generaban números telefónicos aleatorios junto con nombres, horarios y duración de llamadas predeterminados, todos incorporados directamente dentro del código de las apps.
Estos datos falsos eran mostrados únicamente después de que la víctima realizara el pago correspondiente.
Incluso, algunas capturas utilizadas en las fichas de Google Play mostraban ejemplos de estos registros falsificados como supuesta evidencia del funcionamiento de las aplicaciones.
Google eliminó las aplicaciones tras el reporte de ESET
Como miembro de la App Defense Alliance, ESET reportó las 28 aplicaciones fraudulentas a Google el pasado 16 de diciembre de 2025. Tras la investigación, todas las aplicaciones identificadas fueron eliminadas de Google Play.
Las apps estaban dirigidas principalmente a usuarios de India y la región Asia-Pacífico, incluyendo sistemas de pago compatibles con UPI, una popular plataforma de pagos digitales utilizada en India.
Cómo funcionaba la estafa de CallPhantom
La investigación detectó tres métodos de cobro distintos utilizados por las aplicaciones:
- Suscripciones mediante el sistema oficial de facturación de Google Play.
- Pagos externos mediante aplicaciones compatibles con UPI.
- Formularios integrados para pagos directos con tarjeta.
ESET advirtió que varios de estos métodos infringían las políticas de pago de Google Play, especialmente aquellos que utilizaban servicios externos para evitar controles y posibles reembolsos.
Además, los investigadores descubrieron que algunas aplicaciones obtenían dinámicamente cuentas de pago desde bases de datos de Firebase, permitiendo a los operadores cambiar rápidamente los destinatarios de los pagos.
ESET advierte sobre aplicaciones que prometen acceso a información privada
Desde ESET señalaron que los estafadores aprovecharon la curiosidad de los usuarios al prometer acceso a información privada de terceros, apoyándose además en reseñas positivas falsas para aparentar legitimidad.
La compañía recordó que aplicaciones que prometen acceder al historial de llamadas, mensajes o datos privados de cualquier número suelen tratarse de fraudes o herramientas maliciosas.
Asimismo, indicó que quienes realizaron pagos mediante el sistema oficial de Google Play podrían solicitar reembolsos bajo las políticas de Google, mientras que quienes pagaron mediante servicios externos dependerán de los proveedores de pago o de los desarrolladores de las aplicaciones para intentar recuperar su dinero.
Publicar un comentario