Как работала схема и почему миллионы людей ей поверили?
Исследователи безопасности из компании ESET обнаружили в официальном магазине Google Play 28 вредоносных приложений, которые получили общее название CallPhantom. Эти программы обещали пользователям доступ к конфиденциальной информации других людей: истории вызовов, записей SMS и даже логов звонков в WhatsApp для любого номера телефона. Несмотря на то, что такие функции технически невозможны, интерес аудитории привел к тому, что эти приложения были установлены более 7,3 миллиона раз, пишет PhoneArena.
Анализ показал, что вся предоставленная программами информация была полной фальсификацией. Вместо реальных данных пользователи получали случайно сгенерированные номера телефонов, которые сочетались с жестко закодированными в программном коде именами, временем и продолжительностью вызовов.
Как указано в отчете, мошенники даже использовали скриншоты с поддельными кодами в самом описании приложений в Play Store, чтобы убедить жертв в дееспособности сервиса.
Одно из мошеннических приложений,, которое было ориентировано на Индию / Скриншоты ESET
Мошенническая кампания была четко структурирована. Специалисты выделили два основных кластера приложений:
- Приложения первой группы показывали пользователю частичные "результаты" с вымышленными данными и требовали оплату за просмотр полного списка.
- Приложения второго кластера просили ввести адрес электронной почты, на которую якобы должны были прислать собранную историю звонков, но ни одна генерация данных не начиналась до момента оформления подписки.
Интересно, что разработчики пытались выглядеть максимально легитимно. Одно из самых популярных приложений называлось "Call History of Any Number" и было опубликовано от имени разработчика Indian gov.in, то есть якобы от правительственной структуры. Это создавало ложное впечатление связи с индийскими властями, хотя на самом деле никакого отношения к ним программа не имела.
Основным рынком для злоумышленников (но не единственным) стала Индия – второй по величине рынок смартфонов в мире. Программы часто имели заранее выбранный телефонный код страны +91 и поддерживали местную платежную систему UPI.
Сгенерированные номера, которые якобы обнаружила программа / Скриншоты ESET
Сколько это стоило жертвам?
Цены за "услуги" CallPhantom варьировались в широком диапазоне: от 5 евро за самую дешевую подписку до 80 долларов США за премиальные пакеты.
Чтобы заставить пользователя заплатить, применялись методы психологического давления. Например, если человек выходил из приложения без оплаты, он мог получить фальшивое оповещение, замаскированное под электронное письмо, о том, что результаты поиска уже прибыли. Нажатие на такое уведомление вело прямо на страницу оплаты.
Программы CallPhantom / Скриншоты ESET
Лукас Стефанко, исследователь вредоносного программного обеспечения в компании ESET, подчеркнул, что эти приложения не запрашивали опасных разрешений, поскольку они не содержали никакого функционала для реального сбора данных с устройства. Мошенники просто эксплуатировали любопытство людей.
Программы удалили, но..
Однако удаление программ не решило всех проблем пользователей. Те, кто оформлял подписку через официальную платежную систему Google Play, могут рассчитывать на возврат средств согласно политике платформы.
Однако некоторые приложения CallPhantom использовали сторонние методы оплаты – через UPI или прямой ввод данных банковских карт в самой программе. В таких случаях Google не может отменить транзакцию или вернуть деньги, поэтому жертвам придется обращаться непосредственно к своим банкам или платежным операторам.
Вам также будет интересно узнать: как не попасться на крючок мошеннических приложений – основные признаки обмана
Мошеннические приложения давно перестали быть примитивными "вирусами" со странными названиями. Сегодня они часто выглядят как обычные программы для редактирования фото, очистки смартфона, VPN-сервисы, трекеры звонков, криптокошельки или даже банковские приложения. Часть таких программ попадает даже в магазин Google Play, из-за чего пользователи ошибочно считают их безопасными только из-за самого факта присутствия в официальном каталоге.
Один из главных признаков мошеннического приложения – слишком агрессивные обещания. Если программа заявляет, что может показать чужие сообщения WhatsApp, историю звонков другого человека, "взломать" аккаунт или мгновенно ускорить смартфон в несколько раз, это почти гарантированно обман, направлен на тех, кто хочет любой ценой шпионить за устройством своего партнера, друга или врага, пишет TechRadar.
Еще один признак – странный набор разрешений. Например, калькулятор или фонарик не должны просить доступ к контактам, микрофона, SMS или специальных возможностей Android Accessibility Services. Именно через Accessibility Services вредоносные программы часто получают контроль над экраном, читают сообщения, нажимают кнопки вместо пользователя и даже воруют банковские данные.
Также стоит обращать внимание на страницу разработчика. У мошеннических программ часто нет нормального сайта, политики конфиденциальности, истории других приложений или понятного описания компании. Названия разработчиков могут выглядеть случайными или меняться. Иногда мошенники копируют дизайн известных приложений, но добавляют незаметные изменения в названии.
Отдельная проблема – фальшивые отзывы. В Google Play давно существует целый рынок накрутки оценок и комментариев. Существует целое научное исследование на эту тему, которое можно прочитать на сервере препринтов arXiv. В нем авторы обнаружили схемы, в которых приложения искусственно получали высокие рейтинги через сети ботов и купленные аккаунты. Поэтому большое количество пятизвездочных оценок само по себе не гарантирует безопасности. Подозрение должны вызывать короткие шаблонные комментарии вроде "Excellent app", "Very good" или сотни однотипных отзывов за короткое время.
Почему Google Play не способен полностью остановить опасные программы?
Многие пользователи удивляются, почему Google вообще пропускает опасные программы в свой магазин. На самом деле процесс проверки очень сложный и частично автоматизирован. Разработчик создает аккаунт, загружает APK-файл программы, описание, скриншоты и проходит автоматическое сканирование. Google использует системы машинного обучения, поведенческий анализ и ручные проверки. Компания заявляет, что в 2025 году заблокировала более 1,75 миллиона опасных или мошеннических приложений и более 80 тысяч аккаунтов разработчиков.
Проблема в том, что хакеры постоянно адаптируются. Часть вредоносных программ ведет себя "нормально" во время проверки, но активирует опасные функции уже после установки или через несколько дней с помощью обновления, которое внедряет новый код.
Ситуацию усложняет масштаб самого магазина. Google Play содержит миллионы программ, а новые приложения и обновления появляются постоянно. Даже автоматизированные AI-системы не могут гарантировать стопроцентное обнаружение угроз. Кроме того, мошенники активно используют обфускацию – намеренное запутывание кода, которое усложняет анализ приложения.
Как проверить Android-смартфон после установки подозрительного приложения?
- Если пользователь уже установил подозрительное приложение, первым делом нужно проверить разрешения программы. В настройках Android стоит открыть раздел "Разрешения" и посмотреть, к чему приложение имеет доступ. Особое внимание нужно обратить на SMS, Accessibility Services, микрофон, камеру, контакты и функции администратора устройства, советует 24 Канал.
- После этого стоит проверить список установленных программ. Некоторые трояны маскируются под системные сервисы или вообще убирают свою иконку. Если смартфон начал быстрее разряжаться, перегреваться, показывать странную рекламу или самостоятельно открывать страницы – это тревожные сигналы.
- Также нужно открыть Google Play Protect. Эта система встроена в Android и регулярно сканирует установленные приложения. Она может автоматически предупреждать об опасных программах или даже удалять их. По данным Google, Play Protect ежедневно проверяет сотни миллиардов приложений и в 2025 году обнаружил более 27 миллионов вредоносных программ вне Google Play.
- После удаления подозрительного приложения стоит изменить пароли от банковских сервисов, электронной почты и социальных сетей, особенно если программа имела доступ к Accessibility Services или могла видеть содержимое экрана. В случае банковских троянов этого достаточно для перехвата кодов подтверждения и входа в аккаунты.
- В сложных случаях самым надежным решением остается полный сброс смартфона до заводских настроек. Это особенно актуально, если программа получила права администратора устройства или начала блокировать удаление. Перед сбросом важно сохранить фотографии и документы, но не переносить APK-файлы или резервные копии сомнительных программ обратно на устройство.