Ventotto app Android fraudolente, scaricate complessivamente 7,3 milioni di volte dal Google Play Store, promettevano di fornire cronologie delle chiamate, registri di WhatsApp e dati SMS di qualsiasi numero telefonico. Peccato che le informazioni restituite fossero completamente inventate. E per ottenerle, gli utenti dovevano pure pagare.
Come funzionava la truffa delle app CallPhantom
La società di sicurezza informatica ESET ha identificato e battezzato questo gruppo di app con il nome CallPhantom. Il meccanismo era tanto semplice quanto subdolo: ogni app dichiarava di poter accedere alla cronologia delle chiamate, ai log di WhatsApp e ai messaggi SMS associati a qualsiasi numero di telefono. Roba che, a pensarci bene, dovrebbe già far suonare un campanello d’allarme. Nessuna applicazione legittima può fare una cosa del genere.
La realtà era ben diversa da quanto promesso. ESET ha scoperto che i numeri di telefono mostrati come parte della presunta cronologia erano generati casualmente dall’app stessa. Questi numeri venivano poi abbinati a nomi fissi, orari e durate di chiamata già incorporati nel codice sorgente. Tutto finto, insomma. E il bello è che per accedere a questi dati completamente fasulli, l’utente doveva prima pagare un abbonamento.
La prima app individuata da ESET, nel dicembre del 2025, si chiamava “Call History of Any Number” ed era pubblicata da uno sviluppatore dal nome ingannevole: “Indian gov.in”. Un nome scelto apposta per far credere a un collegamento con il governo indiano, che ovviamente non esisteva. Persino gli screenshot presenti nella scheda del Play Store erano costruiti ad arte per simulare il funzionamento dell’app e convincere gli utenti della sua affidabilità.
Un mercato preciso nel mirino: l’India
Le app Android del gruppo CallPhantom puntavano in modo specifico al secondo mercato smartphone più grande al mondo, ovvero l’India. Molte di queste app avevano il prefisso internazionale +91 già preselezionato e si appoggiavano a un sistema di pagamento chiamato UPI, diffuso quasi esclusivamente nel territorio indiano. Le 28 app usavano design differenti tra loro, proprio per sembrare prodotti indipendenti e non collegati, ma condividevano tutte lo stesso obiettivo: generare dati di comunicazione falsi e far pagare le vittime per accedervi.
ESET, in qualità di partner della App Defense Alliance, ha segnalato tutte le 28 app a Google il 16 dicembre 2025. Google le ha rimosse dal Play Store, ma non per tutti gli utenti è stato possibile ottenere un rimborso. Il motivo? Alcune di queste app aggiravano il sistema di fatturazione ufficiale del Google Play Store, utilizzando invece app di terze parti compatibili con UPI oppure moduli di pagamento con carta di credito integrati direttamente nelle app stesse.
Trucchi psicologici per spingere al pagamento
Le app CallPhantom non si limitavano a mostrare dati falsi. Avevano anche escogitato un sistema per spingere chi le installava a pagare. Se un utente usciva dall’app senza sottoscrivere l’abbonamento, riceveva una finta notifica email che lo avvisava dell’arrivo dei risultati della cronologia chiamate. Cliccando sulla notifica, veniva reindirizzato a una pagina di sottoscrizione. I prezzi variavano da app a app: si andava da un minimo di 5 euro fino a un massimo di circa 75 euro.
La sezione commenti del Google Play Store conteneva già diverse segnalazioni utili. Alcuni utenti avevano scritto chiaramente che l’app era una frode, che mostrava nomi casuali al posto delle vere cronologie, e che i numeri visualizzati erano palesemente falsi ogni volta. Recensioni che, se lette prima dell’installazione, avrebbero probabilmente evitato a molti di sprecare tempo e denaro.
