Дослідники ESET виявили на платформі Google Play шахрайські додатки, які стверджували, що надають доступ до журналу дзвінків “для будь-якого номера”. Ці 28 додатків, яким ESET дала назву CallPhantom, нібито забезпечують доступ до журналів дзвінків, SMS-повідомлень і навіть журналів дзвінків WhatsApp для будь-якого номера телефону. Щоб розблокувати цю функцію, користувачів просили заплатити — але замість реальних даних вони отримували лише випадково згенеровану інформацію. Загальна кількість завантажень 28 шахрайських додатків перевищила 7,3 мільйона. Один з додатків – “Call History of Any Number” — навіть опублікований під назвою розробника “Indian gov.in”, хоча жодного стосунку до уряду Індії не має.

Дослідники ESET виявили, що “результати”, які демонструються жертвам, повністю генеруються жорстко закодованими шаблонами та генераторами випадкових чисел, а не будь-яким реальним запитом до бекенду. В одному кластері додатків код містить фіксовані списки імен, кодів країн, часових міток і тривалості дзвінків, які поєднуються з випадково згенерованими номерами, а потім відображаються як часткові “зразкові” записи перед тим, як користувача просять заплатити. Після отримання звіту від ESET Google видалив усі 28 додатків із Play Store. Передплати через офіційну систему виставлення рахунків Google Play були скасовані. ESET як партнер App Defense Alliance класифікує ці додатки в сімейство виявлення Android/CallPhantom. Кампанія також використовувала Firebase Cloud Messaging для комунікацій типу command-and-control. Основна цільова аудиторія – користувачі Android в Індії та Азійсько-Тихоокеанському регіоні: 53,7% усіх виявлених заражень зафіксовані саме в Індії. Ціни на підписки варіювались від 5 євро на місяць до 80 доларів на рік.