Hoy en día pareciera haber aplicaciones para todo. ESET, compañía líder en detección proactiva de amenazas, advierte que consultar los registros de llamadas de un número de teléfono a elección no es una de esas cosas, como pudieron comprobar miles de usuarios de Android tras pagar suscripciones de aplicaciones que prometían brindar ese servicio. La investigación de ESET identificó 28 aplicaciones infractoras que aseguran ofrecer acceso a historiales de llamadas, registros de SMS e incluso logs de llamadas de WhatsApp para cualquier número de teléfono. Para desbloquear esta supuesta funcionalidad, se solicitaba un pago; sin embargo, lo único que se obtenía a cambio son datos generados aleatoriamente.
La investigación de ESET identificó 28 aplicaciones fraudulentas de este tipo, que ESET denominó CallPhantom en alusión a que la funcionalidad que ofrecen es inexistente, disponibles en la tienda Google Play, que de forma acumulada superaron los 7,3 millones de descargas. Como socios de App Defense Alliance, ESET reportó los hallazgos a Google, que eliminó de Google Play todas las aplicaciones identificadas en este informe.
En noviembre de 2025, ESET analizó una aplicación llamada Call History of Any Number, disponible en Google Play. La aplicación afirmaba que podía recuperar el historial de llamadas de cualquier número de teléfono proporcionado por el usuario. Era publicada bajo el nombre de desarrollador Indian gov.in, pero la aplicación no tiene ninguna asociación real con el gobierno de India.
El análisis de ESET mostró que los datos de “historial de llamadas” proporcionados por esta aplicación son completamente fabricados: la app genera números de teléfono aleatorios y los combina con nombres, horarios de llamadas y duraciones predefinidos, que estaban incorporados directamente en el código. Estos datos falsos se presentan a las víctimas, pero solo después de realizar el pago.
Una captura de pantalla de los datos de historial de llamadas fabricados incluso se incluía en la ficha de la aplicación en Google Play, presentada como una demostración de la funcionalidad de la app.
Investigaciones adicionales de ESET revelaron la existencia de más aplicaciones relacionadas disponibles en Google Play: en total 28 aplicaciones. El equipo de investigación reportó el conjunto completo de aplicaciones fraudulentas a Google el 16 de diciembre de 2025. Al momento de la publicación, todas las aplicaciones reportadas ya habían sido eliminadas de la tienda.
A pesar de las diferencias visuales, el propósito de las aplicaciones es idéntico: generar datos de comunicaciones falsos y cobrar a las víctimas por el acceso. La tabla de la sección aplicaciones CallPhantom analizadas enumera cada aplicación junto con sus detalles clave, incluido el número de descargas.
Las aplicaciones CallPhantom identificadas estaban dirigidas principalmente a usuarios de Android en India y en la región más amplia de Asia‑Pacífico. Muchas de estas apps incluían preseleccionado el código de país +91 de India y admitían UPI, un sistema de pagos utilizado principalmente en ese país. Las aplicaciones acumulaban numerosas reseñas negativas, en las que las víctimas reportaban haber sido estafadas y no haber recibido nunca los datos prometidos.
“No está claro cómo se distribuyeron o promocionaron las aplicaciones. Presumiblemente, al aparentar ofrecer acceso a información privada, los estafadores lograron aprovechar la curiosidad de los usuarios. Combinado con algunas reseñas positivas (falsas), pudo haber parecido una oferta atractiva.”, comentan desde el equipo de investigación de ESET.
En las aplicaciones de CallPhantom analizadas se observaron tres métodos de pago diferentes, de los cuales dos infringen la política de pagos de Google Play. En primer lugar, algunas aplicaciones utilizaban suscripciones a través del sistema oficial de facturación de Google Play. Este es el mecanismo exigido para las apps que ofrecen compras dentro de la aplicación, dichas compras están cubiertas por la protección de reembolso de Google.
En segundo lugar, algunas aplicaciones recurrían a pagos mediante aplicaciones de terceros compatibles con UPI. En estos casos, las apps CallPhantom incluían URLs codificadas directamente o las obtenían dinámicamente desde una base de datos en tiempo real de Firebase, lo que permitía al operador cambiar la cuenta receptora de los pagos en cualquier momento.
En tercer lugar, en algunos casos se incluían directamente formularios de pago con tarjeta dentro de las propias aplicaciones CallPhantom.
“Nuestro análisis reveló que los “resultados” mostrados a las víctimas son completamente fabricados, y que a menudo utilizan números indios codificados directamente, nombres predefinidos y marcas de tiempo generadas, presentadas como si fueran datos reales de comunicaciones. Los usuarios que se suscribieron a través del sistema oficial de facturación de Google Play pueden ser elegibles para reembolsos conforme a las políticas de reembolso de Google. Las compras realizadas mediante aplicaciones de pago de terceros o a través del ingreso directo de datos de tarjetas no pueden ser reembolsadas por Google, lo que deja a los usuarios dependientes de proveedores de pago externos o de los desarrolladores de las aplicaciones.”, concluye el equipo de investigación de ESET.