CallPhantom w Google Play: fałszywe aplikacje historii połączeń wyłudziły płatności od milionów użytkowników - Security Bez Tabu

CallPhantom w Google Play: fałszywe aplikacje historii połączeń wyłudziły płatności od milionów użytkowników

Cybersecurity news

Wprowadzenie do problemu / definicja

W oficjalnym sklepie Google Play wykryto kampanię oszustw mobilnych, w ramach której aplikacje podszywały się pod narzędzia do sprawdzania historii połączeń, rejestrów SMS oraz rzekomych logów komunikatorów dla dowolnego numeru telefonu. W rzeczywistości nie oferowały deklarowanych funkcji, lecz służyły do nakłaniania użytkowników do opłacania subskrypcji lub jednorazowych płatności za fikcyjne dane.

Przypadek ten pokazuje, że cyberprzestępcy nie zawsze muszą wykorzystywać złośliwe oprogramowanie o wysokim poziomie zaawansowania. Czasem wystarczy pozornie wiarygodna aplikacja, chwytliwy opis i dobrze zaprojektowany mechanizm monetyzacji oparty na manipulacji oczekiwaniami użytkownika.

W skrócie

  • Badacze zidentyfikowali 28 aplikacji na Androida powiązanych z kampanią CallPhantom.
  • Łączna liczba pobrań przekroczyła 7,3 mln przed usunięciem programów ze sklepu.
  • Aplikacje obiecywały dostęp do historii połączeń i wiadomości dla dowolnego numeru telefonu.
  • Po dokonaniu płatności użytkownicy otrzymywali wygenerowane losowo, nieprawdziwe dane.
  • Część aplikacji korzystała z oficjalnych rozliczeń Google Play, a część z zewnętrznych metod płatności.

Kontekst / historia

Tego rodzaju oszustwa bazują przede wszystkim na socjotechnice. Obietnica uzyskania dostępu do cudzych danych telekomunikacyjnych lub komunikacyjnych ma wzbudzić ciekawość i skłonić użytkownika do szybkiej decyzji zakupowej. Już sama deklarowana funkcjonalność powinna być sygnałem ostrzegawczym, ponieważ standardowe aplikacje mobilne nie mają legalnej ani technicznie uzasadnionej możliwości pobierania historii połączeń czy SMS-ów innych osób wyłącznie na podstawie numeru telefonu.

W analizowanej kampanii operatorzy wykorzystywali wiele podobnych aplikacji, atrakcyjne nazwy oraz elementy budujące pozorne zaufanie. W co najmniej jednym przypadku nazwa dewelopera sugerowała związek z instytucją publiczną, co mogło dodatkowo uwiarygadniać ofertę w oczach użytkowników. Kluczowym celem nie było więc przełamanie zabezpieczeń Androida, lecz monetyzacja fałszywej obietnicy.

Analiza techniczna

Od strony technicznej kampania była stosunkowo prosta, ale skuteczna operacyjnie. Aplikacje zwykle nie wymagały szerokich uprawnień systemowych, co mogło obniżać czujność użytkowników. Paradoksalnie właśnie brak podejrzanych uprawnień był jednym z sygnałów, że program nie realizuje funkcji, które deklaruje.

Schemat działania wyglądał zazwyczaj następująco:

  • użytkownik instalował aplikację z Google Play,
  • program obiecywał możliwość sprawdzenia historii połączeń lub SMS dla wskazanego numeru,
  • przed wyświetleniem wyniku aplikacja żądała opłaty lub aktywacji subskrypcji,
  • po płatności prezentowane były sfabrykowane dane, w tym losowe numery i nazwy zapisane w kodzie aplikacji,
  • w części przypadków stosowano dodatkowe komunikaty manipulacyjne, np. informację o rzekomym wysłaniu danych na e-mail.

To istotne rozróżnienie: kampania nie była klasycznym spyware, które rzeczywiście wykrada dane z urządzenia ofiary lub innych systemów. Było to oszustwo subskrypcyjne wykorzystujące fikcyjną funkcjonalność i presję płatności. Dodatkowo część aplikacji wykorzystywała zewnętrzne kanały płatności, co mogło utrudniać odzyskanie pieniędzy i rodzić pytania o zgodność z zasadami platformy.

Konsekwencje / ryzyko

Najbardziej bezpośrednią konsekwencją dla użytkowników były straty finansowe. Opłaty wynosiły od kilku do kilkudziesięciu dolarów, a przy milionach pobrań kampania mogła wygenerować znaczące przychody dla jej operatorów. Użytkownicy, którzy skorzystali z płatności poza oficjalnym systemem rozliczeń sklepu, mogli mieć dodatkowo ograniczone możliwości reklamacji.

Ryzyko nie kończy się jednak na utracie środków. Tego typu aplikacje oswajają użytkowników z instalowaniem programów o wątpliwej funkcjonalności i obniżają próg ostrożności wobec kolejnych oszustw mobilnych. Mogą też stać się elementem szerszego łańcucha nadużyć, obejmującego phishing, dalsze wyłudzenia czy zbieranie danych płatniczych.

Z perspektywy organizacji zagrożenie jest szczególnie istotne w modelu BYOD. Jeśli prywatne urządzenia są używane do pracy, instalacja takich aplikacji zwiększa powierzchnię ryzyka i utrwala niebezpieczne nawyki związane z prywatnością, wiarygodnością aplikacji oraz bezpieczeństwem płatności.

Rekomendacje

Użytkownicy indywidualni i zespoły bezpieczeństwa powinni traktować aplikacje obiecujące dostęp do cudzych danych telekomunikacyjnych jako z definicji podejrzane. W praktyce warto wdrożyć kilka podstawowych zasad ostrożności.

  • Nie instalować aplikacji obiecujących wgląd w historię połączeń, SMS-y lub logi komunikatorów dla dowolnego numeru telefonu.
  • Weryfikować reputację dewelopera, historię publikacji oraz spójność opisu aplikacji.
  • Analizować model monetyzacji, zwłaszcza gdy aplikacja bardzo szybko przechodzi do ekranu płatności.
  • Regularnie sprawdzać aktywne subskrypcje i historię transakcji w Google Play.
  • Usuwać aplikacje oferujące technicznie niewiarygodne funkcje.
  • Zgłaszać podejrzane programy do operatora platformy oraz zespołów bezpieczeństwa mobilnego.

W środowiskach korporacyjnych warto dodatkowo wdrożyć polityki MDM lub EMM ograniczające instalację niezatwierdzonych aplikacji, monitorować wzorce płatności mobilnych oraz prowadzić szkolenia uświadamiające dotyczące realistycznych możliwości aplikacji na smartfony.

Jeżeli użytkownik dokonał już płatności, powinien niezwłocznie anulować subskrypcję, sprawdzić obciążenia rachunku lub karty, skontaktować się z operatorem płatności i ocenić, czy nie doszło do dalszego ujawnienia danych.

Podsumowanie

Kampania CallPhantom pokazuje, że skuteczne oszustwo mobilne nie musi opierać się na zaawansowanym malware. Wystarczy obecność w oficjalnym sklepie, wiarygodnie opisana fałszywa funkcjonalność i mechanizm płatności zaprojektowany tak, by wykorzystać ciekawość oraz brak wiedzy technicznej użytkownika.

To także ważne przypomnienie, że obecność aplikacji w Google Play nie jest gwarancją jej rzetelności. Oceniając bezpieczeństwo programu, warto analizować nie tylko żądane uprawnienia, ale również sens techniczny deklarowanych możliwości.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/fake-call-history-apps-stole-payments.html
  2. Google Play Help: Cancel, pause, or change a subscription on Google Play — https://support.google.com/googleplay/answer/7018481
  3. Android Developers: Payments policy overview — https://support.google.com/googleplay/android-developer/answer/10281818