Il Google Play Store torna al centro di un caso legato alla sicurezza Android. Un gruppo di 28 applicazioni, ribattezzato “CallPhantom” dai ricercatori di sicurezza di ESET, è riuscito a raccogliere oltre 7,3 milioni di download promettendo agli utenti accesso a cronologie chiamate, SMS e perfino log WhatsApp di qualsiasi numero telefonico. In realtà, secondo l’indagine, le app fornivano solo informazioni completamente inventate generate automaticamente dal software.
Le applicazioni sono state individuate e segnalate a Google, che le ha successivamente rimosse dal Play Store. Il caso evidenzia ancora una volta come anche gli store ufficiali possano essere sfruttati da operatori fraudolenti capaci di aggirare temporaneamente i controlli automatici.
Come funzionava la truffa “CallPhantom”
Le app promettevano funzionalità particolarmente invasive: bastava inserire un numero di telefono per ottenere presunte cronologie di chiamate, registri SMS e dettagli sulle comunicazioni WhatsApp. Per accedere ai dati, però, gli utenti dovevano prima sottoscrivere un pagamento o un abbonamento.
Secondo ESET, i risultati restituiti dalle app erano totalmente fasulli. I software generavano casualmente numeri telefonici associandoli a nomi predefiniti, orari e durata delle chiamate già presenti nel codice delle applicazioni. In pratica, nessuna delle informazioni mostrate proveniva davvero dai dispositivi delle vittime o da database esterni.
In alcuni casi le app chiedevano persino un indirizzo email dove inviare i “report completi”, ma il contenuto veniva sbloccato solo dopo il pagamento. Alcune utilizzavano il sistema ufficiale di fatturazione Google Play, mentre altre aggiravano le regole usando piattaforme di pagamento esterne. Questo ha reso più complicato l’eventuale processo di rimborso per gli utenti coinvolti.
Le analisi mostrano che la campagna era orientata soprattutto verso gli utenti Android in India e in altri Paesi dell’Asia-Pacifico. Molte applicazioni avevano infatti il prefisso internazionale indiano +91 già preimpostato e supportavano sistemi di pagamento digitali molto diffusi nel mercato locale, come UPI.
Uno degli elementi più curiosi emersi dall’indagine riguarda i permessi richiesti dalle applicazioni. Diversamente da molti malware Android tradizionali, le app non chiedevano autorizzazioni invasive al dispositivo. Questo perché il loro obiettivo non era rubare dati reali, ma convincere gli utenti a pagare per ottenere informazioni inesistenti.
Il caso riapre il dibattito sull’affidabilità degli store ufficiali. Sebbene Google Play disponga di sistemi automatici di scansione e verifica delle app, episodi simili continuano a emergere periodicamente. Studi accademici hanno già evidenziato come il Play Store resti comunque il principale vettore di distribuzione Android, anche per applicazioni indesiderate o potenzialmente dannose, pur mantenendo livelli di sicurezza superiori rispetto agli store alternativi.
ESET ha spiegato di aver segnalato le app a Google già nel dicembre 2025. Dopo la revisione, tutte le applicazioni coinvolte sono state eliminate dal marketplace ufficiale Android.
I consigli per evitare app fraudolente
Gli esperti consigliano di diffidare da applicazioni che promettono accessi “miracolosi” a dati privati di altre persone. Oltre a rappresentare un rischio per la sicurezza, servizi di questo tipo spesso violano privacy e normative.
Tra le raccomandazioni principali ci sono il controllo delle recensioni reali, l’attenzione ai permessi richiesti dalle app, l’uso di Google Play Protect e l’installazione soltanto di software proveniente da sviluppatori affidabili. Anche limitare il numero di applicazioni installate sullo smartphone può ridurre la superficie d’attacco e il rischio di incappare in software ingannevoli.
