В наши дни есть приложения для всего… верно? Ну, поиск записей звонков по выбранному номеру телефона не входит в их число, как обнаружили потенциально миллионы пользователей Android после оплаты подписок на приложения, обещавшие именно это.

Проблемные приложения, которые мы назвали CallPhantom из-за их ложных заявлений, якобы предоставляют доступ к истории звонков, записям SMS и даже журналам звонков WhatsApp для любого телефонного номера. Чтобы разблокировать эту мнимую функцию, пользователям предлагается заплатить, но все, что они получают в ответ, — это случайно сгенерированные данные.

В ходе нашего расследования было выявлено 28 таких мошеннических приложений, доступных в магазине Google Play, которые в совокупности были скачаны более 7,3 миллиона раз. Как партнер App Defense Alliance, мы сообщили о наших выводах компании Google, которая удалила из Google Play все приложения, указанные в этом отчете.

Ключевые моменты этой статьи:
  • Новое мошенничество для Android, CallPhantom, ложно утверждает, что предоставляет доступ к журналам вызовов, записям SMS и истории вызовов WhatsApp для любого номера телефона в обмен на оплату.
  • Мы выявили и сообщили о 28 приложениях CallPhantom в Google Play, которые в совокупности были скачаны более 7,3 миллиона раз.
  • Некоторые приложения CallPhantom обходят официальную систему оплаты Google Play, что затрудняет попытки жертв вернуть деньги.

Расследование

В ноябре 2025 года мы наткнулись на пост в Reddit, в котором обсуждалось приложение под названием Call History of Any Number, найденное в Google Play. Приложение, показанное на рисунке 1, утверждает, что может извлечь историю звонков любого телефонного номера, предоставленного пользователем. Оно было опубликовано под именем разработчика Indian gov.in, но приложение не имеет никакого реального отношения к правительству Индии.

Figure 1. Call History of Any Number app on Google Play
Рисунок 1. История звонков приложения Any Number в Google Play

Неудивительно, что наш анализ показал, что данные «истории звонков», предоставляемые этим приложением, полностью сфабрикованы — приложение генерирует случайные телефонные номера и сопоставляет их с фиксированными именами, временем и продолжительностью звонков, которые были встроены непосредственно в код, как показано на рисунке 2. Эти поддельные данные затем предоставляются жертвам — но только после оплаты.

Figure 2. Hardcoded call log data used by the app
Рисунок 2. Жестко запрограммированные данные журнала вызовов, используемые приложением

Скриншот сфальсифицированных данных истории звонков был даже включен в описание приложения и представлен в качестве демонстрации его функциональности, как показано на рисунке 3.

Figure 3. Screenshots from Google Play
Рисунок 3. Скриншоты из Google Play, якобы демонстрирующие функциональность мошеннического приложения; журналы генерируются случайным образом на основе жестко запрограммированных данных

Дальнейшее исследование выявило дополнительные, связанные приложения, доступные в Play Store — всего 28 приложений CallPhantom. Мы сообщили о полном наборе мошеннических приложений в Google16 декабря 2025 года. На момент публикации все указанные приложения были удалены из магазина.

Несмотря на визуальные различия, которые можно увидеть на рисунках 4 и 5, цель приложений одинакова: генерировать поддельные данные о связи и взимать с жертв плату за доступ. Таблица в разделе «Проанализированные приложения CallPhantom»
перечислены все приложения с основными сведениями, включая количество скачиваний.

Figure 4. Examples of CallPhantom apps found on the Play Store
Рисунок 4. Примеры приложений CallPhantom, найденных в Play Store
Figure 5. Examples of CallPhantom initial screens
Рисунок 5. Примеры начальных экранов приложений CallPhantom

Обзор кампании

Приложения CallPhantom, обнаруженные нами в Google Play, были в основном нацелены на пользователей Android в Индии и более широком Азиатско-Тихоокеанском регионе. Во многих приложениях был заранее выбран индийский код страны +91, и они поддерживали UPI — платежную систему, используемую преимущественно в Индии.

Эти приложения получили множество негативных отзывов: жертвы сообщали, что их обманули и они так и не получили обещанные данные, как показано на рисунке 6.

Figure 6. Negative reviews for one of the fraudulent apps
Рисунок 6. Негативные отзывы об одном из мошеннических приложений

Неясно, как именно распространялись и продвигались эти приложения. Предположительно, мошенники успешно воспользовались любопытством людей, якобы предлагая им доступ к конфиденциальной информации. В сочетании с несколькими восторженными (поддельными) отзывами это могло показаться интригующим предложением.

Обзор CallPhantom

В ходе нашего расследования мы выявили две основные группы таких мошеннических приложений.

Приложения в первой группе содержат в своем коде жестко запрограммированные имена, коды стран и шаблоны, как показано на рисунке 7. Они сочетаются со случайно сгенерированными телефонными номерами и показываются пользователю в качестве частичных «результатов». Чтобы просмотреть полную (поддельную) историю, жертва должна заплатить.

Figure 7. Code responsible for generating messages
Рисунок 7. Код, отвечающий за генерацию сообщений

Приложения из второй группы просят пользователей ввести адрес электронной почты, на который якобы будет отправлена «восстановленная» история звонков, как показано на скриншотах на рисунке 8. Генерация данных не происходит до момента оплаты; пользователи должны заплатить или подписаться, прежде чем якобы будет отправлено какое-либо письмо.

Figure 8. CallPhantom requests the user’s email address
Рисунок 8. CallPhantom запрашивает адрес электронной почты пользователя, на который якобы будут отправляться журналы вызовов

В целом приложения CallPhantom имеют простой пользовательский интерфейс и не запрашивают никаких навязчивых или конфиденциальных разрешений — им это не нужно. По совпадению, они не содержат никаких функций, способных извлекать реальные данные о звонках, SMS или WhatsApp.

В проанализированных нами приложениях CallPhantom мы обнаружили три различных способа оплаты, причем два последних нарушают политику Google Play в отношении платежей.

Во-первых, некоторые приложения использовали подписки через официальную систему биллинга Google Play. Это требуется от приложений, предлагающих встроенные покупки, согласно политике платежей Google Play; на такие покупки распространяется защита Google по возврату средств.

Во-вторых, некоторые приложения использовали платежи через сторонние приложения, поддерживающие UPI. Для этих сторонних платежных приложений приложения CallPhantom либо включали жестко запрограммированные URL-адреса, либо получали URL-адреса динамически из базы данных Firebase в режиме реального времени, что означает, что платежный счет мог быть изменен оператором в любой момент.

В-третьих, в некоторых случаях формы оплаты платежными картами были включены непосредственно в приложения CallPhantom.

Примеры способов оплаты можно увидеть на рисунке 9.

Figure 9. Various payment options used by CallPhantom apps
Рисунок 9. Различные способы оплаты, используемые приложениями CallPhantom

В одном случае мы заметили дополнительную тактику, используемую для того, чтобы склонить пользователя к оплате: если пользователь выходил из приложения без оплаты, приложение отображало обманчивые уведомления, оформленные как новые электронные письма, в которых утверждалось, что поступили результаты истории звонков — см. рисунок 10. Нажатие на уведомление приводило прямо к экрану подписки.

Figure 10. Deceptive notification displayed by CallPhantom to persuade users to subscribe
Рисунок 10. Обманчивое уведомление, отображаемое CallPhantom для убеждения пользователей подписаться

Плата за эту поддельную услугу значительно варьируется в разных приложениях. Приложения, по-видимому, также предлагают различные пакеты подписки, такие как еженедельные, ежемесячные или ежегодные услуги, причем максимальная запрашиваемая цена составляет 80 долларов США. Для самого низкого «уровня подписки» средняя запрашиваемая цена составляла 5 евро.

Что делать, если вас обманули

Как правило, подписки, приобретенные через официальную систему оплаты Google Play, можно отменить в приложении Play Store, нажав на значок своего профиля, перейдя в раздел «Платежи и подписки» → «Подписки», выбрав активную подписку и нажав «Отменить подписку». Google подробно описывает весь процесс на странице «Отмена, приостановка или изменение подписки в Google Play ».

Для 28 приложений, описанных в этом посте, существующие подписки были отменены при удалении приложений из Google Play.

В некоторых случаях возможен возврат средств за покупки в Google Play. Google может произвести возврат средств в зависимости от времени, прошедшего с момента покупки, типа товара и своей политики возврата. Как правило, запросы должны подаваться в течение допустимого срока возврата, как описано на странице поддержки Google.

Если покупка была совершена вне Google Play — например, путем ввода данных платежной карты в приложении или оплаты через сторонние сервисы — Google не может отменить подписку или выдать возмещение, и пользователям необходимо напрямую связаться с поставщиком платежных услуг или разработчиком приложения.

Заключение

Мы выявили новую группу мошеннических приложений для Android в Google Play, которые в совокупности набрали более 7,3 миллиона загрузок, прежде чем были удалены по уведомлению ESET. Эти приложения, которые мы в совокупности назвали CallPhantom, ложно обещают восстановить журналы вызовов, записи SMS и историю вызовов WhatsApp для любого телефонного номера — технически невозможное утверждение, предназначенное исключительно для того, чтобы использовать любопытство людей и ввести их в заблуждение, побуждая к оплате.

Многие из этих приложений обходили официальную систему оплаты Google Play, подталкивая пользователей к оплате через сторонние сервисы или прямому вводу данных карты, что затрудняет возврат средств и подвергает жертв финансовому риску.

Наш анализ показал, что «результаты», показываемые жертвам, полностью сфабрикованы и часто используют жестко запрограммированные индийские номера, заранее определенные имена и сгенерированные временные метки, замаскированные под реальные данные связи.

Пользователи, которые оформили подписку через официальную систему биллинга Google Play, могут иметь право на возмещение в соответствии с политикой Google в отношении возврата средств. Покупки, совершенные через сторонние приложения для оплаты или путем прямого ввода данных платежной карты, не могут быть возмещены Google, в результате чего пользователи оказываются зависимыми от внешних платежных систем или разработчиков.

По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты по APT и информационные ленты. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.

Проанализированные приложения CallPhantom

Название приложения Имя пакета Количество скачиваний
История звонков: подробная информация о любом номере calldetaila.ndcallhisto.rytogetan.ynumber 3 млн
История звонков любого номера com.pixelxinnovation.manager 1 млн
Сведения о звонках любого номера com.app.call.detail.history 1 млн+
История звонков: подробная информация о любом номере sc.call.ofany.mobiledetail 500 тыс.
История звонков: подробная информация о любом номере com.cddhaduk.callerid.block.contact 500K+
История звонков любого номера com.basehistory.historydownloading 500K+
История звонков по любым номерам com.call.of.any.number 100K+
История звонков любого номера com.rajni.callhistory 100K+
История звонков: подробная информация о любом номере com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager 100K
История звонков: подробная информация о любом номере com.callinformative.instantcallhistory.callhistorybluethem.callinfo 100K+
История звонков: подробная информация о любом номере com.call.detail.caller.history 100K
История звонков: подробная информация о любом номере com.anycallinformation.datadetailswho.calliinfo.numberfinder 100K
История звонков: подробная информация о любом номере com.callhistory.callhistoryyourgf 100K+
История звонков: любой номер com.calldetails.smshistory.callhistoryofanynumber 50K
История звонков: подробная информация о любом номере com.callhistory.anynumber.chapfvor.history 50K
История звонков любого номера com.callhistory.callhistoryany.call 50K
История звонков: подробная информация о любом номере com.name.factor 50K+
История звонков любого номера com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber 50K
История звонков любого номера com.chdev.callhistory 10K+
Трекер истории телефонных звонков com.phone.call.history.tracker 10K
История звонков — подробная информация о любом номере com.pdf.maker.pdfreader.pdfscanner 10K
История звонков любого номера com.any.numbers.calls.history 10K
История звонков: подробная информация о любом номере com.callapp.historyero 1K+
История звонков — данные по любому номеру all.callhistory.detail 500
История звонков для любого номера com.easyranktools.callhistoryforanynumber 100
История звонков по номерам com.sbpinfotech.findlocationofanynumber 100
История звонков любого номера callhistoryeditor.callhistory.numberdetails.calleridlocator 50
Call History Pro com.all_historydownload.anynumber.callhistorybackup 50

IoC

Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.

Файлы

SHA-1 Имя файла Обнаружение Описание
799BB5127CA54239D3D4A14367DB3B712012CF14 all.callhistory.detail.apk Android/CallPhantom.K Android CallPhantom.
56A4FD71D1E4BBA2C5C240BE0D794DCFF709D9EB calldetaila.ndcallhisto.rytogetan.ynumber.apk Android/CallPhantom.M Android CallPhantom.
EC5E470753E76614CD28ECF6A3591F08770B7215 callhistoryeditor.callhistory.numberdetails.calleridlocator.apk Android/CallPhantom.F Android CallPhantom.
77C8B7BEC79E7D9AE0D0C02DEC4E9AC510429AD8 com.all_historydownload.anynumber.callhistorybackup.apk Android/CallPhantom.G Android CallPhantom.
9484EFD4C19969F57AFB0C21E6E1A4249C209305 com.any.numbers.calls.history.apk Android/CallPhantom.L Android CallPhantom.
CE97CA7FEECDCAFC6B8E9BD83A370DFA5C336C0A com.anycallinformation.datadetailswho.callinfo.numberfinder.xapk Android/CallPhantom.B Android CallPhantom.
FC3BA2EDAC0BB9801F8535E36F0BCC49ADA5FA5A com.app.call.detail.history.apk Android/CallPhantom.N Android CallPhantom.
B7B80FA34A41E3259E377C0D843643FF736803B8 com.basehistory.historydownloading.xapk Android/CallPhantom.O Android CallPhantom.
F0A8EBD7C4179636BE752ECCFC6BD9E4CD5C7F2C com.call.detail.caller.history.xapk Android/CallPhantom.C Android CallPhantom.
D021E7A0CF45EECC7EE8F57149138725DC77DC9A com.call.of.any.number.apk Android/CallPhantom.Q Android CallPhantom.
04D2221967FFC4312AFDC9B06A0B923BF3579E93 com.callapp.historyero.apk Android/CallPhantom.E Android CallPhantom.
CB31ED027FADBFA3BFFDBC8A84EE1A48A0B7C11D com.calldetails.smshistory.callhistoryofanynumber.apk Android/CallPhantom.Q Android CallPhantom.
C840A85B5FBAF1ED3E0F18A10A6520B337A94D4C com.callhistory.anynumber.chapfvor.history.xapk Android/CallPhantom.J Android CallPhantom.
BB6260CA856C37885BF9E952CA3D7E95398DDABF com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager.apk Android/CallPhantom.S Android CallPhantom.
55D46813047E98879901FD2416A23ACF8D8828F5 com.callhistory.callhistoryany.call.apk Android/CallPhantom.T Android CallPhantom.
E23D3905443CDBF4F1B9CA84A6FF250B6D89E093 com.callhistory.callhistoryyourgf.apk Android/CallPhantom.D Android CallPhantom.
89ECEC01CCB15FCDD2F64E07D0E876A9E79DD3CE com.callinformative.instantcallhistory.callhistorybluethem.callinfo.xapk Android/CallPhantom.B Android CallPhantom.
8EC557302145B40FE0898105752FFF5E357D7AC9 com.cddhaduk.callerid.block.contact.xapk Android/CallPhantom.U Android CallPhantom.
6F72FF58A67EF7AAA79CE2342012326C7B46429D com.easyranktools.callhistoryforanynumber.apk Android/CallPhantom.H Android CallPhantom.
28D3F36BD43D48F02C5058EDD1509E4488112154 com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber.xapk Android/CallPhantom.D Android CallPhantom.
47CEE9DED41B953A84FC9F6ED556EC3AF5BD9345 com.chdev.callhistory.xapk Android/CallPhantom.V Android CallPhantom.
9199A376B433F888AFE962C9BBD991622E8D39F9 com.name.factor.apk Android/CallPhantom.P Android CallPhantom.
053A6A723FA2BFDA8A1B113E8A98DD04C6EEF72A com.pdf.maker.pdfreader.pdfscanner.apk Android/CallPhantom.W Android CallPhantom.
4B537A7152179BBA19D63C9EF287F1AC366AB5CB com.phone.call.history.tracker.apk Android/CallPhantom.I Android CallPhantom.
87F6B2DB155192692BAD1F26F6AEBB04DBF23AAD com.pixelxinnovation.manager.apk Android/CallPhantom.X Android CallPhantom.
583D0E7113795C7D68686D37CE7A41535CF56960 com.rajni.callhistory.apk Android/CallPhantom.Y Android CallPhantom.
45D04E06D8B329A01E680539D798DD3AE68904DA com.sbpinfotech.findlocationofanynumber.xapk Android/CallPhantom.A Android CallPhantom.
34393950A950F5651F3F7811B815B5A21F84A84B sc.call.ofany.mobiledetail.apk Android/CallPhantom.Z Android CallPhantom.

Сеть

IP Домен Хостинг-провайдер Первое появление Подробности
34.120.160[.]131

call-history-7cda4-default-rtdb.firebaseio[.]com

call-history-ecc1e-default-rtdb.firebaseio[.]com

 Google LLC 14.05.2025 Сервер управления CallPhantom.
34.120.206[.]254

ch-ap-4-default-rtdb.firebaseio[.]com

chh1-ac0a3-default-rtdb.firebaseio[.]com

 Google LLC 17.04.2025 C&C-сервер CallPhantom.

Техники MITRE ATT&CK

Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK.

Тактика ID Название Описание
Управление и контроль T1437.001 Протокол прикладного уровня: веб-протоколы CallPhantom использует Firebase Cloud Messaging для связи с командно-контрольным центром.
Последствия T1643 Генерация трафика со стороны жертвы CallPhantom пытается осуществить мошенническое списание средств.

Читать полный анализ на WeLiveSecurity →