Una nueva campaña de fraude digital pone nuevamente bajo presión a la seguridad de Android y a los controles de Google Play. Investigadores de la firma de ciberseguridad ESET detectan 28 aplicaciones fraudulentas que prometen acceder al historial de llamadas, registros SMS y hasta llamadas de WhatsApp de cualquier número telefónico. Todo es falso… pero millones de usuarios terminan pagando por ello. La operación recibe el nombre de CallPhantom. Según el análisis, las aplicaciones acumulan más de 7,3 millones de descargas antes de ser eliminadas de Google Play.
ID 372914967 | Fraud © Muhammad Hadyan Baqi | Dreamstime.com
El caso vuelve a demostrar que incluso las tiendas oficiales de aplicaciones continúan siendo utilizadas para distribuir fraudes masivos disfrazados de herramientas “milagrosas”.
Apps que prometen lo imposible
Las aplicaciones de CallPhantom venden una idea extremadamente atractiva para muchos usuarios: consultar el historial de llamadas de otra persona simplemente ingresando un número telefónico.
Algunas también prometen acceso a mensajes SMS y registros de llamadas de WhatsApp. Sin embargo, expertos en seguridad recalcan que ese tipo de acceso no es técnicamente posible para aplicaciones comunes descargadas desde Google Play.
Las apps simulaban realizar búsquedas reales. Mostraban supuestos resultados con nombres, horarios de llamadas, duración y números telefónicos. El problema es que toda esa información era generada de forma aleatoria.
ESET descubre que los datos estaban incrustados directamente en el código de las aplicaciones. No existía ninguna conexión con registros reales de llamadas ni acceso a bases de datos telefónicas.
En otras palabras, los usuarios pagaban por información completamente inventada.
Cómo funcionaba el fraude
El esquema era relativamente simple, pero efectivo.
El usuario descargaba una app con nombres como “Call History of Any Number” o similares. Luego ingresaba un número telefónico objetivo. La aplicación generaba una “vista previa” parcial del supuesto historial de llamadas y después solicitaba un pago para desbloquear el contenido completo.
En otros casos, la app pedía una dirección de correo electrónico y prometía enviar el reporte luego de pagar una suscripción.
Incluso se detectan mecanismos de presión psicológica. Algunas aplicaciones enviaban notificaciones falsas asegurando que el “reporte ya estaba listo”, intentando forzar al usuario a completar el pago.
Las tarifas variaban considerablemente. Algunas cobraban unos pocos dólares por semana, mientras otras llegaban hasta 80 dólares por suscripciones anuales. El precio promedio de entrada ronda los 5 euros.
India, el principal objetivo
La investigación revela que la mayoría de víctimas se concentra en India y otros mercados de Asia-Pacífico.
Muchas aplicaciones tenían el prefijo telefónico +91 seleccionado por defecto y soportaban UPI, el popular sistema de pagos digitales utilizado en India. Más de la mitad de las detecciones globales de CallPhantom ocurren en ese país.
La campaña explota tanto la curiosidad como el interés por herramientas de vigilancia personal. También aprovecha la enorme adopción de Android en mercados emergentes, donde Google Play domina ampliamente el ecosistema móvil.
Google Play vuelve a quedar en evidencia
Uno de los aspectos más llamativos del caso es que todas las aplicaciones estaban disponibles dentro de Google Play, la tienda oficial de Android.
Eso genera preguntas sobre la capacidad de detección preventiva frente a fraudes que no necesariamente contienen malware tradicional, pero sí engaños financieros masivos.
ESET reporta las aplicaciones a Google como parte de la App Defense Alliance. Posteriormente, la compañía elimina las 28 apps identificadas.
Sin embargo, el problema no termina con la eliminación. Millones de usuarios ya habían descargado las aplicaciones y muchos realizaron pagos.
Expertos en seguridad advierten que este tipo de fraudes continúa creciendo porque combina ingeniería social con modelos de suscripción agresivos.
Algunas apps evitaban el sistema oficial de Google
La investigación también detecta otro detalle preocupante.
Varias aplicaciones utilizaban métodos de pago externos en lugar del sistema oficial de facturación de Google Play. Algunas redirigían a plataformas de pago de terceros. Otras incluso incorporaban formularios para introducir directamente datos de tarjetas bancarias.
Eso complica enormemente el proceso de reembolso.
Las compras realizadas mediante Google Play pueden cancelarse en ciertos casos. Pero cuando el pago se efectúa fuera del ecosistema oficial, el usuario depende directamente del proveedor de pagos o del desarrollador de la aplicación.
Además del fraude económico, este tipo de prácticas incrementa el riesgo de exposición de información financiera sensible.
El engaño no necesitaba permisos peligrosos
Uno de los elementos más curiosos de CallPhantom es que las aplicaciones no solicitaban permisos invasivos.
No pedían acceso completo a llamadas, mensajes ni almacenamiento sensible. Y eso tiene una explicación sencilla: realmente no necesitaban hacer nada.
Las apps no robaban información del teléfono. Su negocio consistía únicamente en simular resultados falsos y convencer al usuario de pagar.
Eso hace que muchas personas bajen la guardia. Existe una percepción equivocada de que una aplicación es segura solo porque no solicita permisos peligrosos.
El problema de las apps “demasiado buenas para ser ciertas”
Los investigadores destacan que el éxito de CallPhantom se basa principalmente en una promesa imposible de cumplir.
Ninguna aplicación legítima puede obtener el historial privado de llamadas o mensajes de otra persona únicamente con un número telefónico. Tampoco puede acceder a llamadas de WhatsApp ajenas desde Google Play.
Ese tipo de promesas debería ser la primera señal de alerta para cualquier usuario.
Aun así, la combinación de curiosidad, morbo y publicidad agresiva continúa siendo altamente rentable para los operadores de fraudes móviles.
Android sigue siendo el principal objetivo
Android continúa siendo el sistema operativo móvil más utilizado del planeta. Esa enorme base instalada también lo convierte en el principal blanco de campañas fraudulentas y aplicaciones engañosas.
Estudios académicos y múltiples investigaciones de seguridad muestran que Google Play mantiene mejores defensas que tiendas alternativas, pero aun así sigue distribuyendo aplicaciones potencialmente peligrosas o fraudulentas a gran escala.
El caso de CallPhantom demuestra que las amenazas modernas ya no dependen únicamente del robo de datos o del malware tradicional. Muchas campañas actuales buscan algo más directo: convencer al usuario de pagar voluntariamente por servicios inexistentes.
Y cuando millones de personas descargan una aplicación desde la tienda oficial, el fraude puede alcanzar cifras gigantescas en muy poco tiempo.
Relacionado