Una nuova truffa ha coinvolto il Google Play Store: i ricercatori di ESET hanno individuato 28 app legate alla campagna CallPhantom, poi rimosse da Google dopo la segnalazione. Le applicazioni promettevano di mostrare cronologie chiamate, SMS e conversazioni WhatsApp di qualsiasi numero inserito, ma in realtà offrivano contenuti inventati per spingere gli utenti a pagare.
Il caso è emerso dopo una segnalazione su Reddit arrivata a novembre 2025. Da lì, il team di sicurezza ha scoperto altre app con lo stesso nome, pubblicate da sviluppatori diversi e scaricate complessivamente più di 7,3 milioni di volte. Un dato che mostra quanto questo schema sia riuscito a ingannare molti utenti, soprattutto in India.
Google Play e la truffa CallPhantom
Le app si presentavano come strumenti capaci di svelare la cronologia delle chiamate di qualunque numero, ma anche messaggi e chat di WhatsApp. Nelle schede sul Play Store comparivano screenshot apparentemente convincenti, pensati per rendere il servizio credibile. In realtà, la promessa era solo un’esca: il risultato della ricerca veniva generato in modo casuale e i dati visualizzati erano finti.
Secondo l’analisi di ESET, i numeri e i relativi dettagli erano già inseriti nel codice delle app. In molti casi il prefisso era quello indiano, +91, un indizio che conferma come i bersagli principali fossero utenti dell’India. La strategia era semplice: attirare chi fosse curioso di controllare un numero, poi chiedere il pagamento per ricevere la cronologia completa o per attivare un abbonamento.
Come funzionava il raggiro
Alcune applicazioni chiedevano anche un indirizzo email, teoricamente necessario per inviare la cronologia richiesta. Ma il contenuto sarebbe arrivato soltanto dopo il pagamento della cifra indicata o dopo la sottoscrizione di un piano ricorrente. Per rendere il tutto più credibile, gli sviluppatori sfruttavano il sistema di pagamento ufficiale di Google oppure servizi di terze parti compatibili con UPI, il circuito molto usato in India.
Questo dettaglio è importante perché, nel caso delle transazioni effettuate tramite Google, era possibile gestire più facilmente cancellazione e rimborso. Con i pagamenti esterni, invece, l’utente doveva rivolgersi allo sviluppatore del servizio o al provider del pagamento, con tempi e procedure spesso meno trasparenti. Un meccanismo pensato per rendere più difficile il recupero del denaro.
La risposta di Google e i segnali da non ignorare
Dopo la segnalazione di ESET, Google ha rimosso tutte le app coinvolte. Tuttavia, il caso mostra quanto sia ancora facile per i criminali sfruttare la curiosità degli utenti e la fiducia riposta negli store ufficiali. Promesse troppo allettanti, descrizioni vaghe e screenshot sensazionalistici sono spesso il primo campanello d’allarme da non sottovalutare.
Quando un’app dichiara di mostrare dati privati di terze persone, specialmente senza spiegare in modo chiaro come ottenga queste informazioni, conviene fermarsi prima del download. La sicurezza passa anche da una semplice verifica: controllare sviluppatore, recensioni, permessi richiesti e coerenza tra descrizione e funzionalità reali. Nel caso di CallPhantom, l’apparenza era costruita per vendere un servizio impossibile.
