Bezpečnostná spoločnosť ESET odhalila skupinu 28 podvodných aplikácií pre Android, ktoré sa niekoľko mesiacov skrývali v oficiálnom obchode Google Play. Podľa správy, ktorá bola publikovaná na blogu WeLiveSecurity, majú dokopy na konte cez 7,3 milióna stiahnutí. Aplikácie pritom ponúkali niečo, čo je technicky aj právne nemožné, a síce prístup k histórii hovorov, záznamom z WhatsAppu a SMS správam pre akékoľvek telefónne číslo.
Čo aplikácie sľubovali a čo skutočne robili
ESET celú skupinu označil súhrnným názvom CallPhantom, pričom všetky aplikácie fungovali na rovnakom princípe. Používateľ zadal telefónne číslo, zaplatil za predplatné a následne dostal výsledky, teda zdanlivo detailnú históriu komunikácie. V skutočnosti však nešlo o žiadne skutočné dáta. Ako uvádza ESET vo svojej analýze, všetky zobrazené čísla, mená, časy hovorov aj ich dĺžky boli pevne zakódované priamo v aplikácii a generované náhodne. Aplikácia nemala žiadnu funkciu, ktorá by jej umožnila získavať skutočné komunikačné záznamy.
Aby výsledky vyzerali dôveryhodnejšie, tvorcovia aplikácií použili aj vizuálne triky. V popise niektorých aplikácií bol screenshot zdrojového kódu, ktorý mal navodiť dojem funkčného riešenia. Išlo však len o ďalšiu súčasť podvodu. Kód bol rovnako falošný ako samotné výsledky.
Ako ich odhalili
ESET sa o existencii týchto aplikácií pôvodne dozvedel v decembri minulého roku, keď zaznamenal aplikáciu s názvom Call History of Any Number. Tá vystupovala pod menom vývojára „Indian gov.in“, čím sa snažila vyvolať dojem spojenia s indickou vládou. Žiadna takáto väzba však neexistovala. Po hlbšej analýze ESET identifikoval ďalších 27 príbuzných aplikácií, ktoré mali rovnaký princíp fungovania. Vizuálne spracovanie síce nebolo všade rovnaké, no cieľ bol de facto identický, a to vytvárať falošné komunikačné záznamy a spoplatniť k nim prístup.
Celý balík 28 aplikácií bol Googlu nahlásený 16. decembra 2025. ESET je totiž členom aliancie App Defense Alliance, partnerského programu Googlu zameraného na bezpečnosť aplikácií, čo mu ukladalo povinnosť nález bezodkladne ohlásiť. Google všetky nahlásené aplikácie z obchodu vymazal.
India ako hlavný cieľ
Aplikácie zo skupiny CallPhantom sa zameriavali predovšetkým na používateľov v Indii, ktorá je druhým najväčším trhom so smartfónmi na svete. Mnohé z nich mali predvolený indický medzinárodný kód (+91) a ako platobný systém využívali UPI, respektíve rozšírené indické riešenie pre digitálne platby. Práve táto väzba na konkrétny platobný systém sťažila Googlu proces vrátenia peňazí poškodeným používateľom, keďže časť transakcií neprechádzala cez oficiálny fakturačný systém Google Play, ale cez platobné formuláre priamo v aplikácii.
Ceny predplatného sa líšili podľa konkrétnej aplikácie. Podľa ESETu najlacnejšia možnosť stála 5 eur, zatiaľ čo najdrahšia až 80 amerických dolárov.
Psychologické triky
Okrem falošných výsledkov využívali aplikácie aj manipulatívne techniky na prinútenie používateľov k platbe. Ak niekto aplikáciu zatvoril bez toho, aby zaplatil, systém mu odoslal falošné upozornenie emailom o tom, že jeho výsledky sú pripravené.
Po kliknutí na notifikáciu bol presmerovaný na platobnú stránku s predplatným. Tento postup bol navrhnutý tak, aby v používateľovi vzbudil pocit naliehavosti a falošnej dôveryhodnosti.
Komentáre ako varovný signál
Mnohí používatelia, ktorí si aplikácie stiahli, zanechali v Google Play varovné komentáre. Niektorí priamo upozorňovali, že aplikácia zobrazuje náhodné mená a čísla, iní ju rovno označili za podvod. Práve recenzie a komentáre ostatných používateľov sú v takýchto prípadoch jedným z mála veľavravných varovaní, najmä pri aplikáciách od neznámych vývojárov. Ak komentáre naznačujú pochybnosti o funkčnosti alebo dôveryhodnosti, je rozumné daný softvér vôbec neinštalovať a radšej sa poobzerať po legitímnejšej, respektíve lepšie overenej alternatíve.
Nie všetko v oficiálnom obchode je bez rizika
Google Play má zavedené automatizované aj manuálne kontrolné mechanizmy, no ako ukazuje tento prípad, sofistikovanejšie podvody s rôznorodým vizuálnym spracovaním môžu tieto filtre obísť. Skutočnosť, že aplikácie nevyužívali škodlivý kód v tradičnom zmysle, ale podvádzali používateľov na úrovni obsahu a platobného procesu, im umožnila dlhšie vyčíňať bez povšimnutia.
Plynie z toho praktické ponaučenie. Pred inštaláciou akejkoľvek aplikácie, ktorá sľubuje prístup k súkromným údajom iných ľudí, napríklad k histórii hovorov či správam, je správne zachovať akúsi zdravú skepsu. Takéto funkcie sú nielen technicky pochybné, ale často aj v rozpore so zákonmi o ochrane osobných údajov.
