La compañía de ciberseguridad ESET descubrió una campaña fraudulenta en la tienda Google Play compuesta por 28 aplicaciones que prometían falsamente acceder al historial de llamadas, mensajes SMS y registros de WhatsApp de cualquier número telefónico. Estas aplicaciones, que de forma acumulada superaron los 7.3 millones de descargas, fueron bautizadas por ESET como CallPhantom, debido a que la funcionalidad que ofrecían es completamente inexistente. El paquete completo de aplicaciones fue reportado a Google el 16 de diciembre de 2025 y ya ha sido eliminado de la tienda.

Cómo operaba la estafa

El engaño se basaba en la curiosidad de los usuarios por acceder a información privada. Para atraer a las víctimas, los desarrolladores incluían reseñas positivas falsas y utilizaban capturas de pantalla con demostraciones ficticias en el perfil de la tienda.

Un caso emblemático analizado en noviembre de 2025 fue la app Call History of Any Number, la cual se publicaba bajo el nombre falso de desarrollador “Indian gov.in” (aparentando una vinculación inexistente con el gobierno de la India). El análisis técnico de ESET demostró el engaño:

• La aplicación no realizaba ninguna consulta real.

• El código de la app contenía una base de datos interna con nombres, números, marcas de tiempo y duraciones de llamada predefinidos.

• Al ingresar un número, la app combinaba estos datos de forma aleatoria para fabricar un historial falso, el cual solo se mostraba al usuario tras realizar un pago.

Público objetivo y métodos de pago

El fraude estuvo dirigido principalmente a usuarios de Android en la India y la región de Asia-Pacífico, reflejado en que muchas apps traían preseleccionado el código de país +91 y utilizaban UPI (un sistema de pagos muy popular en la India). Las secciones de comentarios de las apps estaban inundadas de reseñas negativas de víctimas que denunciaban la estafa.

La investigación detectó tres métodos de cobro, de los cuales dos violaban flagrantemente las políticas de Google:

1. Sistema oficial de facturación de Google Play: Las víctimas que pagaron por esta vía tienen la opción de solicitar un reembolso directo a través de las políticas de protección de Google.

2. Pasarelas de pago de terceros (UPI): Las apps utilizaban enlaces ocultos o bases de datos dinámicas en Firebase para redirigir el dinero a cuentas del estafador que podían cambiar en cualquier momento.

3. Ingreso directo de tarjetas de crédito/débito: Al igual que el método anterior, al saltarse la plataforma de Google, la compañía no puede emitir reembolsos, dejando a los usuarios desprotegidos y dependientes de sus propias entidades bancarias para intentar recuperar su dinero.