Pesquisadores da ESET identificaram um esquema fraudulento envolvendo aplicativos disponíveis na Google Play que prometiam acesso ao histórico de chamadas, SMS e registros de WhatsApp de qualquer número de telefone. Na prática, os apps exibiam informações totalmente falsas e cobravam usuários por um serviço inexistente. Ao todo, foram encontrados 28 aplicativos desse tipo, que somaram mais de 7,3 milhões de downloads.

Os aplicativos foram batizados de CallPhantom pela equipe da ESET, em referência à funcionalidade "fantasma" oferecida aos usuários. Segundo a investigação, os apps utilizavam descrições enganosas e promessas apelativas para convencer vítimas a pagar pelo suposto acesso a informações privadas de terceiros.

Um dos casos analisados pela ESET foi o aplicativo Call History of Any Number, publicado na Google Play sob o nome de desenvolvedor Indian gov.in, embora não tivesse qualquer vínculo real com o governo da Índia. O app alegava permitir a consulta do histórico de chamadas de qualquer número informado pelo usuário.

A análise técnica da ESET revelou que os dados exibidos pelo aplicativo eram completamente fabricados. O sistema gerava números aleatórios combinados com nomes, horários e duração de chamadas predefinidos diretamente no código do app, criando uma falsa impressão de legitimidade.

Além disso, imagens demonstrando esses supostos registros eram exibidas na própria página do aplicativo na Google Play, simulando exemplos reais do serviço prometido.

Após aprofundar a investigação, a ESET identificou outras 27 aplicações semelhantes disponíveis na loja oficial do Android. O conjunto completo foi reportado ao Google em dezembro de 2025 e, até a publicação do relatório, todos os aplicativos já haviam sido removidos da plataforma.

Apesar de apresentarem diferenças visuais, o modelo de atuação de todos os apps maliciosos encontrados era o mesmo: gerar dados falsos e cobrar usuários para desbloquear o acesso às supostas informações.

Segundo a empresa, os apps tinham como foco principalmente usuários da Índia e da região Ásia-Pacífico. Muitos deles já traziam o código internacional +91 pré-selecionado e aceitavam pagamentos via UPI, sistema bastante popular no país. As páginas dos aplicativos acumulavam avaliações negativas de usuários que afirmavam terem sido enganados após efetuarem pagamentos sem receber qualquer dado legítimo.

"Os criminosos exploram a curiosidade e o desejo de acessar informações privadas para atrair vítimas. Como os aplicativos aparentavam funcionar e ainda exibiam avaliações positivas falsas, muitos usuários acabavam acreditando que o serviço era legítimo", comenta Thales Santos, especialista em segurança da informação da ESET Brasil.

A investigação também identificou três métodos diferentes de cobrança utilizados pelos aplicativos. Alguns utilizavam o sistema oficial de assinaturas da Google Play, enquanto outros recorriam a plataformas externas de pagamento compatíveis com UPI ou até formulários próprios para inserção de dados de cartão diretamente no aplicativo.

Segundo os pesquisadores, usuários que realizaram pagamentos pelo sistema oficial da Google Play podem ter direito a reembolso conforme as políticas da plataforma. Já pagamentos realizados por serviços externos ou diretamente via cartão dependem das políticas dos intermediadores financeiros ou dos próprios desenvolvedores — o que reduz significativamente as chances de recuperação do dinheiro.

"Nossa análise confirmou que todos os resultados exibidos pelos aplicativos eram falsos, gerados artificialmente para simular registros reais de comunicação. Esse tipo de golpe mostra como aplicativos maliciosos podem explorar funcionalidades sensíveis para enganar usuários e lucrar com promessas impossíveis de serem cumpridas", conclui o especialista.

Como se proteger

Para evitar cair em golpes semelhantes, a ESET recomenda:

• Desconfiar de aplicativos que prometem acesso a dados privados de terceiros;
• Verificar a reputação do desenvolvedor antes de instalar apps;
• Ler avaliações e comentários com atenção;
• Evitar realizar pagamentos fora dos sistemas oficiais das lojas de aplicativos;
• Utilizar soluções de segurança capazes de detectar aplicativos maliciosos;
• Manter o sistema operacional e os aplicativos sempre atualizados.

A empresa reforça ainda que aplicativos legítimos não possuem autorização para acessar históricos de chamadas ou registros privados de outras pessoas sem consentimento explícito.