Apps fraudulentos oferecem acesso a histórico de chamadas e enganam milhões de usuários

Uma investigação da ESET revelou que 28 aplicativos na Google Play enganaram usuários ao prometerem acesso a históricos de chamadas e mensagens. Os apps, que acumulam mais de 7,3 milhões de downloads, cobravam por serviços inexistentes.

Pesquisadores da ESET descobriram um esquema fraudulento que envolve uma série de aplicativos disponíveis na Google Play. Esses apps alegavam oferecer acesso ao histórico de chamadas, mensagens SMS e registros do WhatsApp de qualquer número de telefone. Contudo, a realidade era bem diferente, já que os aplicativos apenas exibiam dados completamente falsos e cobravam pelos serviços que nunca foram entregues.

Identificação dos aplicativos fraudulentos

Os aplicativos, batizados de CallPhantom pela equipe da ESET, utilizaram descrições enganosas e promessas atrativas para convencer os usuários a pagarem por um acesso que não existia. A investigação revelou um dos aplicativos mais notórios, o Call History of Any Number, que foi publicado na Google Play sob a identidade de um desenvolvedor falso, Indian gov.in, sem qualquer relação com o governo da Índia.

Funcionamento dos aplicativos

A análise técnica realizada pela ESET mostrou que as informações apresentadas pelos aplicativos eram geradas artificialmente. O sistema criava números aleatórios, combinando-os com nomes, horários e durações de chamadas programadas no código, gerando a falsa impressão de autenticidade. Imagens que simulavam registros reais eram usadas na página do aplicativo, aumentando a credibilidade aparente.

Remoção dos aplicativos e métodos de cobrança

Após identificar 27 aplicativos semelhantes, a ESET reportou o caso ao Google em dezembro de 2025, e todos foram removidos da loja antes da divulgação do relatório. Apesar das diferenças visuais, todos os apps seguiam o mesmo padrão de gerar dados falsos e cobrar dos usuários para acessar informações que não existiam. Os aplicativos eram direcionados, principalmente, a usuários na Índia e na região Ásia-Pacífico, e utilizavam o código internacional +91 em suas configurações.

Avaliações negativas e o perfil das vítimas

Muitos dos aplicativos possuíam avaliações negativas de usuários que se sentiram enganados após efetuar pagamentos sem receber os dados prometidos. Thales Santos, especialista em segurança da informação da ESET Brasil, comentou que os criminosos exploram a curiosidade das pessoas para acessar informações privadas, criando um ambiente de confiança através de avaliações falsas.

Possibilidade de reembolso

Os pesquisadores da ESET também identificaram três métodos distintos de cobrança utilizados pelos aplicativos. Alguns usavam o sistema de assinaturas da Google Play, enquanto outros recorreram a plataformas de pagamento externas, compatíveis com UPI, ou formulários para inserção de dados de cartão diretamente no app. Usuários que pagaram pela Google Play podem ter direito a reembolso, mas aqueles que usaram serviços externos ou informaram dados de cartão enfrentam dificuldades para recuperar o dinheiro.

Conclusão sobre os golpes

A análise confirmou que todas as informações apresentadas pelos aplicativos eram falsas, criadas artificialmente para enganar os usuários. Esse tipo de golpe ilustra como aplicativos maliciosos podem explorar funcionalidades sensíveis para obter lucros com promessas irreais, deixando um rastro de vítimas enganadas.