Исследователи ESET нашли в Google Play 28 мошеннических Android-приложений, которые обещали показать историю звонков и SMS по любому номеру. До удаления из магазина они набрали более 7,3 млн скачиваний и брали с пользователей деньги за выдуманные данные.
Кампания получила название CallPhantom. Основной удар пришёлся по пользователям в Индии и странах Азиатско-Тихоокеанского региона, но схема важна и для российских владельцев Android: она показывает, что даже официальный магазин приложений не снимает с пользователя риск платной ловушки.
Как работала схема CallPhantom
Приложения маскировались под сервисы для проверки чужой истории звонков. В описаниях они обещали доступ к журналам вызовов, SMS и даже звонкам в WhatsApp для любого телефонного номера.
После установки пользователь видел простой интерфейс: нужно было ввести номер, выбрать интересующий тип данных и оплатить доступ. Только после платежа приложение показывало результат — набор случайных имён и телефонных номеров, заранее зашитых в код или сгенерированных без связи с реальностью.
По данным ESET, приложения не умели получать историю звонков, SMS или данные мессенджеров. Они не запрашивали опасные разрешения и не пытались взломать телефон. Их задача была проще: убедить человека заплатить за невозможную услугу.
В этом и кроется главный маркер обмана. Легального приложения, которое показывает историю звонков и сообщений любого чужого номера, быть не должно. Если сервис обещает такой доступ за небольшую плату, перед пользователем почти наверняка мошенническая схема.
Почему пользователи верили приложениям
Мошенники сделали ставку не на сложный вредоносный код, а на доверие к витрине Google Play. Для многих пользователей сам факт публикации в официальном магазине выглядит как проверка безопасности. На практике магазин снижает риск, но не убирает его полностью.
Один из сервисов опубликовали от имени разработчика Indian gov.in. Такое название имитировало связь с государственными структурами и должно было снять сомнения у пользователей. В похожих схемах злоумышленники часто подбирают названия с намёком на официальность: добавляют слова gov, service, support, tax, bank.
Ещё один приём — имитация уже готового результата. В одном случае, если человек закрывал приложение без оплаты, оно присылало уведомление: якобы история звонков отправлена на электронную почту. Нажатие на уведомление вело уже не к данным, а к экрану подписки.
Приложения, по данным исследователей, могли работать как минимум с ноября 2025 года. Одно из них набрало более 3 млн скачиваний, прежде чем Google удалил всю выявленную группу.
Деньги уходили через подписки и сторонние платежи
Суммы отличались от приложения к приложению: подписки и разовые платежи стоили примерно от $6 до $80. Часть оплат проходила через штатную платёжную систему Google Play, часть — через сторонние платёжные приложения с поддержкой индийской системы UPI, а часть — через формы ввода банковской карты прямо внутри приложения.
Последние два варианта нарушают правила Google для таких приложений. Для пользователя разница особенно важна при попытке вернуть деньги. Если подписка шла через официальный биллинг Google Play, после удаления приложения её должны были отменить, а пользователь мог претендовать на возврат по правилам Google.
С платежами через сторонние приложения и прямой ввод карты всё сложнее. Google не контролирует такие транзакции и не возвращает деньги за них. Пострадавшему приходится обращаться в банк, платёжный сервис или к разработчику, который в мошеннической схеме чаще всего не отвечает.
Для россиян вывод универсален: подписка внутри приложения требует той же осторожности, что и перевод по ссылке. Перед оплатой стоит проверить разработчика, отзывы, дату публикации, политику возврата и саму суть обещанной услуги.
Чем это отличается от обычного вредоноса
CallPhantom необычен тем, что приложения почти не выглядели опасными технически. Они не просили доступ к контактам, SMS, журналу звонков или файлам. Антивирусы и встроенные проверки могли не увидеть классических признаков заражения.
Но финансовый ущерб всё равно возникал. Пользователь сам вводил платёжные данные или подтверждал подписку, потому что верил интерфейсу и описанию. Это не взлом в узком смысле, а социальная инженерия — давление на любопытство, ревность, тревогу или желание быстро проверить информацию.
Похожая логика встречается и в других атаках. Ранее мы писали, как TCLBANKER крадёт банковские логины через мессенджер и почту: там преступники тоже подталкивали жертву к действию, которое открывало путь к деньгам.
Схемы с «полезными» приложениями особенно опасны для людей, которые ищут быстрые решения: проверить номер, восстановить переписку, узнать геолокацию, получить чужие данные. Чем сильнее обещание похоже на нарушение приватности другого человека, тем выше шанс, что нарушат уже ваши права и кошелёк.
Похожие атаки идут через мессенджеры
В том же отчётном поле исследователи Group-IB описали другую кампанию в Индонезии. Преступники выдавали себя за налоговую платформу CoreTax и другие известные бренды, а ущерб пользователям оценили примерно в $2 млн.
Там схема была жёстче: фишинговые сайты, сообщения в WhatsApp, голосовые звонки и установка APK-файлов вручную. На устройства попадали банковские трояны Gigabud RAT, MMRat и Taotie, которые собирали чувствительные данные, загружали дополнительные компоненты и помогали красть деньги со счетов.
Group-IB связывает кампанию с финансово мотивированной группой GoldFactory. По данным компании, та же инфраструктура злоумышленников использовалась для имитации более 16 доверенных брендов и была нацелена на широкую аудиторию в Индонезии.
Для обычного пользователя разница между двумя историями не всегда заметна. В одной схеме приложение просто продаёт фикцию, в другой — заражает телефон. Но старт похож: громкое обещание, знакомый бренд, срочная просьба нажать, установить или оплатить.
Похожий риск есть не только в мобильных магазинах. Мы уже разбирали случай, когда фальшивый репозиторий OpenAI на Hugging Face раздавал стилер: доверие к известной площадке тоже использовали как приманку.
Что сделать, если вы установили похожее приложение
- Удалите приложение, если оно обещает историю звонков, SMS, геолокацию или данные мессенджера по чужому номеру.
- Откройте раздел подписок в Google Play и отмените все незнакомые или подозрительные списания.
- Проверьте выписку по карте за последние недели. Если видите лишние платежи, сразу обратитесь в банк.
- Если платили через Google Play, подайте запрос на возврат по правилам магазина.
- Если вводили карту внутри приложения, перевыпустите карту или временно ограничьте интернет-платежи.
- Не устанавливайте APK-файлы из сообщений, чатов и рекламных страниц, даже если их прислал знакомый контакт.
- В публичных сетях используйте сервис безопасного интернет-соединения, чтобы защитить трафик и приватность данных.
- Перед оплатой проверяйте разработчика, дату публикации, реальные отзывы и разрешения приложения.
- Помните: сервис, который обещает доступ к чужим звонкам и сообщениям, сам по себе повод закрыть страницу.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.