CallPhantom: 28 apps falsas en Google Play con 7,3 millones de descargas
Investigadores de ESET descubrieron en noviembre de 2025 una campaña que denominaron CallPhantom: 28 aplicaciones fraudulentas en Google Play que prometían acceso al historial de llamadas, SMS y WhatsApp de cualquier número telefónico. El dato más llamativo no es que fueran falsas — es que acumularon más de 7.3 millones de descargas antes de ser eliminadas.
La promesa imposible que millones aceptaron pagar
La mecánica era simple y efectiva: las apps afirmaban poder recuperar el historial de comunicaciones de cualquier número, incluso sin acceso al dispositivo. Algo técnicamente imposible por diseño del sistema operativo Android y de las telecomunicaciones en general.
Sin embargo, la propuesta apelaba a una necesidad real — o percibida como tal — en muchos usuarios: verificar si un familiar miente, controlar a un empleado, o satisfacer simple curiosidad. Esa motivación fue suficiente para generar millones de descargas y pagos reales por un servicio que nunca existió.
El descubrimiento inicial surgió de un hilo en Reddit donde usuarios reportaban la app “Call History of Any Number”, publicada bajo el desarrollador “Indian gov.in” — un nombre diseñado para sugerir legitimidad institucional.
Cómo funcionaba la estafa
Las aplicaciones se dividían en dos variantes técnicas:
- Primer clúster: generaban datos completamente falsos — nombres, números y marcas de tiempo codificados directamente en el código de la app, combinados aleatoriamente. Los “resultados” solo se mostraban después del pago.
- Segundo clúster: solicitaban un correo electrónico donde supuestamente se enviaría el historial recuperado. Nunca llegaba nada — pero el pago ya había sido procesado.
Las capturas de pantalla en Google Play mostraban estos datos falsos como demostración de funcionalidad, creando la ilusión de un servicio que efectivamente entregaba resultados.
Tres métodos de cobro, distintos niveles de riesgo
La campaña utilizaba tres mecanismos de pago con implicaciones diferentes para las víctimas:
| Método | Mecanismo | Posibilidad de reembolso |
|---|---|---|
| Suscripción Google Play oficial | Facturación integrada de Play Store | Sí, bajo política de Google |
| Apps UPI de terceros | URLs de pago codificadas o dinámicas vía Firebase | No — depende del proveedor externo |
| Formulario de tarjeta directo | Datos de tarjeta ingresados en la app | No — riesgo adicional de robo de datos |
Las apps que usaban los métodos 2 y 3 eludían deliberadamente el sistema oficial de facturación de Google — lo que eliminaba cualquier protección al consumidor y complicaba los reembolsos.
Tácticas de manipulación adicionales
Algunas aplicaciones mostraban notificaciones push engañosas cuando el usuario cerraba la app sin pagar, simulando que ya habían llegado los resultados al correo. El mensaje redirigía a la pantalla de suscripción, creando una presión artificial para completar el pago.
Las apps también acumulaban reseñas positivas falsas para contrarrestar las denuncias reales que los usuarios dejaban. Al mirar solo el puntaje global sin leer los comentarios, la app parecía confiable.
Alcance y estado actual
La campaña estaba dirigida principalmente a usuarios en India y Asia-Pacífico — los códigos de país +91 venían preseleccionados y los sistemas de pago UPI son específicos de India. Sin embargo, la metodología es exportable a cualquier mercado.
Tras la notificación de ESET, Google eliminó las 28 aplicaciones de Play Store y canceló las suscripciones activas. Las detecciones son clasificadas como Android/CallPhantom[A-Z].
Si instalaste alguna de estas apps: revisá tus suscripciones activas en Play Store → Perfil → Pagos y suscripciones. Si el pago fue fuera de Google Play, contactá directamente a tu banco o proveedor de tarjeta para reportar el cargo como fraudulento.
El problema real no son estas 28 apps — son las próximas
Google eliminó estas aplicaciones. Pero la campaña duró meses con 7.3 millones de descargas antes de ser detectada. Eso significa que el sistema de moderación de Play Store no es suficiente como única línea de defensa — y eso es relevante especialmente en entornos corporativos donde los empleados usan dispositivos móviles para acceder a correo, VPN o aplicaciones internas.
Una app fraudulenta instalada en un dispositivo con acceso a la red corporativa no solo representa un riesgo financiero individual. Si el método de pago era un formulario de tarjeta directo, los datos ingresados pueden haber sido capturados. Si la app usaba Firebase para comunicaciones C&C, el dispositivo puede estar siendo monitoreado.
La mitigación no es complicada: una política de seguridad móvil que restrinja la instalación de apps no verificadas, combinada con capacitación básica sobre cómo identificar aplicaciones fraudulentas, reduce significativamente este vector. En AllSafe podemos ayudarte a definir esa política para tu organización — hablemos.
