CallPhantom : 28 apps Android frauduleuses sur Google Play escroquent 7,3 millions d'utilisateurs

🔍 Contexte

Publié le 7 mai 2026 par le chercheur Lukas Stefanko d’ESET Research, ce rapport documente la découverte d’une campagne de fraude Android baptisée CallPhantom, identifiée initialement en novembre 2025 via un post Reddit signalant une application suspecte sur Google Play.

📱 Description de la menace

28 applications frauduleuses ont été identifiées sur le Google Play Store, cumulant plus de 7,3 millions de téléchargements avant leur suppression. Ces apps prétendent fournir l’accès aux historiques d’appels, SMS et appels WhatsApp pour n’importe quel numéro de téléphone, en échange d’un paiement. Les données présentées aux victimes sont entièrement fabriquées : numéros générés aléatoirement, noms prédéfinis et horodatages codés en dur dans le code source.

🎯 Ciblage et distribution

• Cible principale : utilisateurs Android en Inde et dans la région Asie-Pacifique
• Indicateur de ciblage : indicatif +91 (Inde) présélectionné, support du système de paiement UPI
• Certaines apps usurpaient l’identité du gouvernement indien (developer name “Indian gov.in”)
• Distribution via Google Play uniquement ; vecteur de promotion non identifié

💰 Mécanismes de paiement

Trois méthodes de paiement ont été observées :

1. Abonnements via Google Play Billing (conforme à la politique Google)
2. Paiements via apps tierces UPI — URLs codées en dur ou récupérées dynamiquement depuis une base de données Firebase Realtime
3. Formulaires de saisie de carte bancaire intégrés directement dans l’app

Les méthodes 2 et 3 violent la politique de paiement de Google Play et compliquent les remboursements pour les victimes.

🧩 Clusters techniques

• Cluster 1 : noms, indicatifs pays et templates codés en dur, combinés à des numéros générés aléatoirement — résultats partiels affichés avant paiement
• Cluster 2 : demande d’adresse email pour livraison supposée des logs — aucune donnée générée avant paiement
• Tactique additionnelle : fausses notifications simulant l’arrivée de résultats par email pour inciter au paiement

📊 Indicateurs de compromission

28 packages Android identifiés avec leurs SHA-1 respectifs, et des domaines Firebase utilisés comme infrastructure C&C pour la mise à jour dynamique des comptes de paiement.

📋 Type d’article

Publication de recherche technique d’ESET Research, visant à documenter une campagne de fraude Android active, fournir les IoCs associés et notifier Google via le programme App Defense Alliance.

🧠 TTPs et IOCs détectés

TTP

• T1437.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1643 — Generate Traffic from Victim (Impact)
• T1disguise — Masquerading (Defense Evasion)

IOC

• IPv4 : 34.120.160.131 — AbuseIPDB · VT · ThreatFox
• IPv4 : 34.120.206.254 — AbuseIPDB · VT · ThreatFox
• Domaines : call-history-7cda4-default-rtdb.firebaseio.com — VT · URLhaus · ThreatFox
• Domaines : call-history-ecc1e-default-rtdb.firebaseio.com — VT · URLhaus · ThreatFox
• Domaines : ch-ap-4-default-rtdb.firebaseio.com — VT · URLhaus · ThreatFox
• Domaines : chh1-ac0a3-default-rtdb.firebaseio.com — VT · URLhaus · ThreatFox
• SHA1 : 799BB5127CA54239D3D4A14367DB3B712012CF14 — VT · MalwareBazaar
• SHA1 : 56A4FD71D1E4BBA2C5C240BE0D794DCFF709D9EB — VT · MalwareBazaar
• SHA1 : EC5E470753E76614CD28ECF6A3591F08770B7215 — VT · MalwareBazaar
• SHA1 : 77C8B7BEC79E7D9AE0D0C02DEC4E9AC510429AD8 — VT · MalwareBazaar
• SHA1 : 9484EFD4C19969F57AFB0C21E6E1A4249C209305 — VT · MalwareBazaar
• SHA1 : CE97CA7FEECDCAFC6B8E9BD83A370DFA5C336C0A — VT · MalwareBazaar
• SHA1 : FC3BA2EDAC0BB9801F8535E36F0BCC49ADA5FA5A — VT · MalwareBazaar
• SHA1 : B7B80FA34A41E3259E377C0D843643FF736803B8 — VT · MalwareBazaar
• SHA1 : F0A8EBD7C4179636BE752ECCFC6BD9E4CD5C7F2C — VT · MalwareBazaar
• SHA1 : D021E7A0CF45EECC7EE8F57149138725DC77DC9A — VT · MalwareBazaar
• SHA1 : 04D2221967FFC4312AFDC9B06A0B923BF3579E93 — VT · MalwareBazaar
• SHA1 : CB31ED027FADBFA3BFFDBC8A84EE1A48A0B7C11D — VT · MalwareBazaar
• SHA1 : C840A85B5FBAF1ED3E0F18A10A6520B337A94D4C — VT · MalwareBazaar
• SHA1 : BB6260CA856C37885BF9E952CA3D7E95398DDABF — VT · MalwareBazaar
• SHA1 : 55D46813047E98879901FD2416A23ACF8D8828F5 — VT · MalwareBazaar
• SHA1 : E23D3905443CDBF4F1B9CA84A6FF250B6D89E093 — VT · MalwareBazaar
• SHA1 : 89ECEC01CCB15FCDD2F64E07D0E876A9E79DD3CE — VT · MalwareBazaar
• SHA1 : 8EC557302145B40FE0898105752FFF5E357D7AC9 — VT · MalwareBazaar
• SHA1 : 6F72FF58A67EF7AAA79CE2342012326C7B46429D — VT · MalwareBazaar
• SHA1 : 28D3F36BD43D48F02C5058EDD1509E4488112154 — VT · MalwareBazaar
• SHA1 : 47CEE9DED41B953A84FC9F6ED556EC3AF5BD9345 — VT · MalwareBazaar
• SHA1 : 9199A376B433F888AFE962C9BBD991622E8D39F9 — VT · MalwareBazaar
• SHA1 : 053A6A723FA2BFDA8A1B113E8A98DD04C6EEF72A — VT · MalwareBazaar
• SHA1 : 4B537A7152179BBA19D63C9EF287F1AC366AB5CB — VT · MalwareBazaar
• SHA1 : 87F6B2DB155192692BAD1F26F6AEBB04DBF23AAD — VT · MalwareBazaar
• SHA1 : 583D0E7113795C7D68686D37CE7A41535CF56960 — VT · MalwareBazaar
• SHA1 : 45D04E06D8B329A01E680539D798DD3AE68904DA — VT · MalwareBazaar
• SHA1 : 34393950A950F5651F3F7811B815B5A21F84A84B — VT · MalwareBazaar
• Fichiers : all.callhistory.detail.apk
• Fichiers : calldetaila.ndcallhisto.rytogetan.ynumber.apk
• Fichiers : callhistoryeditor.callhistory.numberdetails.calleridlocator.apk
• Fichiers : com.all_historydownload.anynumber.callhistorybackup.apk
• Fichiers : com.any.numbers.calls.history.apk
• Fichiers : com.anycallinformation.datadetailswho.callinfo.numberfinder.xapk
• Fichiers : com.app.call.detail.history.apk
• Fichiers : com.basehistory.historydownloading.xapk
• Fichiers : com.call.detail.caller.history.xapk
• Fichiers : com.call.of.any.number.apk
• Fichiers : com.callapp.historyero.apk
• Fichiers : com.calldetails.smshistory.callhistoryofanynumber.apk
• Fichiers : com.callhistory.anynumber.chapfvor.history.xapk
• Fichiers : com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager.apk
• Fichiers : com.callhistory.callhistoryany.call.apk
• Fichiers : com.callhistory.callhistoryyourgf.apk
• Fichiers : com.callinformative.instantcallhistory.callhistorybluethem.callinfo.xapk
• Fichiers : com.cddhaduk.callerid.block.contact.xapk
• Fichiers : com.easyranktools.callhistoryforanynumber.apk
• Fichiers : com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber.xapk
• Fichiers : com.chdev.callhistory.xapk
• Fichiers : com.name.factor.apk
• Fichiers : com.pdf.maker.pdfreader.pdfscanner.apk
• Fichiers : com.phone.call.history.tracker.apk
• Fichiers : com.pixelxinnovation.manager.apk
• Fichiers : com.rajni.callhistory.apk
• Fichiers : com.sbpinfotech.findlocationofanynumber.xapk
• Fichiers : sc.call.ofany.mobiledetail.apk

Malware / Outils

• CallPhantom (other)

🟢 Indice de vérification factuelle : 83/100 (haute)

• ✅ welivesecurity.com — source reconnue (liste interne) (20pts)
• ✅ 16138 chars — texte complet (fulltext extrait) (15pts)
• ✅ 62 IOCs dont des hashes (15pts)
• ✅ 3/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 2 TTP(s) MITRE (8pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• call-history-7cda4-default-rtdb.firebaseio.com (domain) → VT (12/92 détections) + ThreatFox (Unknown malware)
• call-history-ecc1e-default-rtdb.firebaseio.com (domain) → VT (12/92 détections) + ThreatFox (Unknown malware)
• ch-ap-4-default-rtdb.firebaseio.com (domain) → VT (12/92 détections) + ThreatFox (Unknown malware)

🔗 Source originale : https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/