Facebook
Instagram
Twitter/X
CallPhantom: ESET descobre 28 apps fraudulentas na Google Play com mais de 7 milhões de downloads
Os investigadores da ESET descobriram um esquema fraudulento de grandes proporções na Google Play. Um conjunto de 28 aplicações, batizadas de CallPhantom, prometia acesso ao histórico de chamadas, registos de SMS e até conversas do WhatsApp de qualquer número de telemóvel. Na prática, em troca de um pagamento, os utilizadores recebiam apenas dados gerados aleatoriamente.
No total, estas aplicações acumularam mais de 7,3 milhões de transferências antes de serem removidas. A ESET, enquanto parceira da App Defense Alliance, reportou as conclusões à Google, que retirou todas as aplicações identificadas da sua loja oficial.
Como funciona a fraude CallPhantom
Tudo começou em novembro de 2025, quando uma publicação no Reddit chamou a atenção dos investigadores para uma aplicação chamada Call History of Any Number. A análise revelou rapidamente que se tratava de uma fraude.
"A nossa análise demonstrou que os dados de 'histórico de chamadas' fornecidos por esta aplicação são completamente fabricados. A aplicação gera números de telemóvel aleatórios e associa-os a nomes fixos, horários e durações de chamadas incorporados diretamente no código", explica Lukáš Štefanko, investigador da ESET responsável pela descoberta.
Curiosamente, estas aplicações apresentam um painel simples, não pedem permissões intrusivas e, mais revelador ainda, não contêm sequer qualquer funcionalidade capaz de obter dados reais de chamadas, SMS ou WhatsApp.
Quem foi o principal alvo
Os utilizadores Android na Índia e na região mais alargada da Ásia-Pacífico foram os principais visados. Muitas aplicações apresentavam o indicativo +91 pré-selecionado e suportavam o UPI, sistema de pagamento popular na Índia. Ainda assim, o caso é um aviso para qualquer utilizador, incluindo os portugueses, sobre os riscos de aplicações que prometem aceder a dados privados de terceiros.
Três métodos de pagamento, dois fora das regras
A ESET identificou três métodos distintos de cobrança, sendo que dois violam claramente a política de pagamentos da Google Play. Algumas aplicações usavam subscrições através do sistema oficial de faturação da Google, enquanto outras recorriam a serviços de terceiros ou apresentavam formulários de cartão de pagamento embutidos na própria aplicação, prática proibida.
Os valores cobrados variam bastante: o preço mais elevado identificado foi de 80 dólares americanos (cerca de 67,96 euros), enquanto o escalão mais baixo rondava os 5 euros. Existiam pacotes semanais, mensais e anuais.
É possível recuperar o dinheiro?
As subscrições ativas adquiridas através do sistema oficial da Google Play foram canceladas automaticamente quando as aplicações foram removidas. Em alguns casos, é mesmo possível pedir o reembolso diretamente à Google.
Já as compras feitas fora da Google Play, seja por introdução direta dos dados do cartão na aplicação ou através de serviços de pagamento de terceiros, não podem ser canceladas nem reembolsadas pela Google. Nestes casos, os utilizadores afetados terão de contactar diretamente o seu fornecedor de serviços de pagamento.
Como se proteger
Este caso é mais um lembrete de que mesmo lojas oficiais como a Google Play não estão imunes a aplicações fraudulentas. Antes de instalar qualquer app, é essencial verificar avaliações, desconfiar de promessas demasiado boas para serem verdade — como aceder a dados privados de outras pessoas — e evitar introduzir dados de cartão de pagamento em formulários dentro de aplicações desconhecidas.
Siga o NetThings no Google News
Fique a par de todas as novidades tecnológicas em tempo real.
⭐ SEGUIR NO GOOGLE NEWS
Participar na conversa