Millones de personas descargaron aplicaciones que prometían espiar llamadas y conversaciones de WhatsApp de terceros. Todo era falso. Investigadores de ESET detectaron una red de 28 apps fraudulentas distribuidas a través de Google Play que cobraban dinero a cambio de datos inventados.
El alcance del engaño fue global. La campaña, denominada CallPhantom, acumuló más de 7,3 millones de descargas antes de que las apps fueran retiradas de la tienda oficial de Android. Los ciberdelincuentes apelaron a la curiosidad de los usuarios, quienes terminaron pagando Estas apps incluso solicitaron un pago hasta 80 dólares por información falsa.
“No está claro cómo se distribuyeron o promocionaron las aplicaciones. Presumiblemente, al aparentar ofrecer acceso a información privada, los estafadores lograron aprovechar la curiosidad de los usuarios. Combinado con algunas reseñas positivas (falsas), pudo haber parecido una oferta atractiva”, comentan desde el equipo de investigación de ESET.
¿Cómo funcionaba la estafa?
El esquema era tan simple como efectivo. Las apps simulaban un “hackeo” en tiempo real. El usuario ingresaba un número telefónico y la app mostraba barras de progreso, pantallas de carga y mensajes que daban la impresión de estar obteniendo información real. Para verla, el usuario debía pagar una suscripción.Sin embargo, el análisis de ESET reveló que las apps no tenían capacidad alguna para extraer información real. Solo generaron números aleatorios que mezclaban con nombres y duraciones de llamadas.
“Nuestro análisis reveló que los “resultados” mostrados a las víctimas son completamente fabricados, y que a menudo utilizan números indios codificados directamente, nombres predefinidos y marcas de tiempo generadas, presentadas como si fueran datos reales de comunicaciones”, explicaron los investigadores.
El fraude no solo se alimentó de la curiosidad, sino también de tácticas de manipulación. Algunas apps se distribuían bajo nombres de desarrolladores falsos, como “Indian gov.in”, para simular una autoridad inexistente. Si el usuario intentaba salir sin suscribirse, la app enviaba notificaciones asegurando que los resultados ya estaban listos, forzando así la suscripción.
Suscripciones alcanzaron los 80 dólaresLos investigadores detectaron cobros que iban desde los 5 euros en el nivel más bajo hasta suscripciones anuales de 80 dólares. Los cobros se realizaban mediante suscripciones oficiales de Google Play, plataformas de pago de terceros, e incluso formularios integrados para ingresar directamente tarjetas de crédito.
Las dos últimas modalidades deja a las víctimas en una posición vulnerable, ya que en esos casos Google no puede gestionar reembolsos.
“Los usuarios que se suscribieron a través del sistema oficial de facturación de Google Play pueden ser elegibles para reembolsos conforme a las políticas de reembolso de Google. Las compras realizadas mediante aplicaciones de pago de terceros o a través del ingreso directo de datos de tarjetas no pueden ser reembolsadas por Google, lo que deja a los usuarios dependientes de proveedores de pago externos o de los desarrolladores de las aplicaciones”, destacó el equipo de investigación de ESET.
¿Qué hacer si descargaste alguna de estas apps?
ESET recomienda actuar de inmediato si instalaste dichas herramientas:
1. Cancelar la suscripción:Ingresar a: Play Store → Perfil → Pagos y suscripciones → SuscripcionesSi alguna suscripción sigue activa, cancelarla manualmente.
2. Solicitar un reembolsoSi el pago se realizó mediante Google Play, es posible pedir una devolución a través del soporte oficial de Google.
3. Contactar al bancoSi la tarjeta fue ingresada directamente dentro de la aplicación, se recomienda comunicarse inmediatamente con el banco para bloquear el medio de pago y desconocer cargos sospechosos.
“Es imposible que una aplicación legítima obtenga datos privados de otro número sin el consentimiento y acceso físico al dispositivo; cualquier promesa en sentido contrario es, por definición, una estafa”, concluyen los investigadores.