Wie CallPhantom und GoldFactory Android-Nutzer in der APAC-Region täuschen

Foto des Autors

CyberSecureFox Editorial Team

28 betrügerische Anwendungen unter dem gemeinsamen Codenamen CallPhantom konnten in Google Play mehr als 7,3 Mio. Installationen erzielen, indem sie Zugriff auf Anruf- und Nachrichtenverläufe „beliebiger Nummern“ versprachen, in Wirklichkeit aber Nutzer mit gefälschten Daten auf kostenpflichtige Dienste buchten; parallel dazu hat die Gruppierung GoldFactory in Indonesien über gefälschte Steuer- und Bankservices, bösartige APKs und Social Engineering von Nutzern rund 2 Mio. US‑Dollar erbeutet, was die Kombination „offizielle Marken + mobile Zahlungen“ zu einem zentralen Risikofaktor für Privatpersonen und Unternehmen in der asiatisch-pazifischen Region macht.

Technische Details: zwei unterschiedliche, aber verwandte Schemen

CallPhantom: groß angelegte Abo-Abzocke in Google Play

Laut einer Analyse von ESET verbirgt sich hinter dem Namen CallPhantom ein Set aus 28 Android-Apps, die im offiziellen Google-Play-Store veröffentlicht wurden und sich vor allem an Nutzer in Indien und Ländern der APAC-Region richteten. Zentrale Eckdaten des Schemas:

  • Gesamtzahl der Installationen: mehr als 7,3 Mio., wobei eine App die Marke von 3 Mio. Downloads überschritt.
  • Funktionales Versprechen: Einsicht in Anrufprotokolle, SMS und sogar WhatsApp-Anrufe „beliebiger Nummern“.
  • Tatsächliche Umsetzung: In den Anwendungen fehlt jeglicher Code zum Zugriff auf Anrufprotokolle, SMS oder WhatsApp; die Angaben zu Anrufen und Teilnehmern sind von vornherein im Code hinterlegte Schein-Einträge, die zufällig generiert werden.
  • Berechtigungen: Die Apps fordern keine sensiblen Berechtigungen an und verfügen über eine äußerst einfache Oberfläche, was das Misstrauen sowohl der Nutzer als auch automatischer Prüfmechanismen reduziert.

Einzelne Anwendungen wurden unter Pseudonymen veröffentlicht, die gezielt Vertrauen wecken sollten, darunter ein Entwicklername wie „Indian gov.in“, der Assoziationen zu indischen Regierungsstellen hervorrief.

Monetarisierungsmechanismus:

  • Der Nutzer gibt die gewünschte Telefonnummer ein (teilweise zusätzlich eine E‑Mail-Adresse „zur Zustellung des Berichts“).
  • Vor der Zahlung werden überhaupt keine Daten angezeigt.
  • Zur „Freischaltung“ wird ein kostenpflichtiges Abonnement oder eine Einmalzahlung angeboten.
  • Nach der Zahlung erhält der Nutzer keine echten Informationen, sondern generierte Scheinprotokolle, die im Quellcode der App hinterlegt sind.

Es kamen drei Hauptkanäle für die Zahlungsabwicklung zum Einsatz:

  • Offizielles Google-Play-Billing – formal legal, jedoch für einen betrügerischen Dienst genutzt.
  • Drittanbieter‑UPI‑Apps (Unified Payments Interface), darunter Google Pay, PhonePe und Paytm – dieses Vorgehen verstößt gegen die Richtlinien von Google Play.
  • Formulare zur Eingabe von Bankkarten innerhalb der App – ebenfalls ein Verstoß gegen die Google-Richtlinien.

Die Kosten der „Abonnements“ variierten grob zwischen 6 und 80 US‑Dollar. Nach Angaben von ESET können Nutzer, die ein Abo über das offizielle Google-Play-Billing abgeschlossen haben, gemäß den aktuellen Rückerstattungsregeln von Google Play eine Erstattung beantragen; Zahlungen über UPI und direkte Karteneingabe können von Google jedoch nicht kompensiert werden – die Nutzer sind hier allein auf ihre Banken und Zahlungsdienste gestellt.

In einigen Fällen kamen zusätzliche Druckmittel zum Einsatz:

  • Schließt der Nutzer die App, ohne ein Abo zu bezahlen, wird ihm eine Benachrichtigung angezeigt, wonach „der Anrufverlauf zur Nummer X an die E‑Mail-Adresse gesendet wurde“.
  • Ein Klick auf die Benachrichtigung führt jedoch nicht zu einem „Bericht“, sondern zurück zum Bildschirm zur Abo-Buchung.

Aus Bewertungen und Diskussionen in offenen Quellen lässt sich schließen, dass CallPhantom mindestens seit November 2025 aktiv ist. Zum Zeitpunkt der ESET-Veröffentlichung waren alle identifizierten Apps aus Google Play entfernt.

GoldFactory: Betrug über gefälschten Steuerdienst und mobile Trojaner

Von Group-IB wurde parallel eine im Kern ähnliche, technisch jedoch komplexere Kampagne in Indonesien beobachtet, die mit dem finanzmotivierten Cluster GoldFactory in Verbindung steht. Nach Einschätzung der Forscher erbeuteten die Angreifer rund 2 Mio. US‑Dollar von indonesischen Nutzern, indem sie sich als die staatliche Steuerplattform CoreTax und andere vertrauenswürdige Marken ausgaben. Details sind im Group-IB-Bericht zur GoldFactory-Kampagne dargestellt.

Zentrale Elemente der Angriffskette:

  • Phishing-Websites, die CoreTax und mehr als 16 weitere beliebte Services imitieren.
  • Social Engineering über WhatsApp – Versand von Links und Anweisungen im Namen der „Steuerbehörde“ oder einer „Bank“.
  • Sideloading bösartiger APKs anstelle der Installation von Apps aus Google Play.
  • Voice-Phishing (vishing), um das Opfer zur vollständigen Installation und zur Vergabe der benötigten Rechte zu bewegen.

Nach Abschluss der Installation wird ein Android‑Schadprogramm nachgeladen, darunter Vertreter der Familien Gigabud RAT, MMRat und Taotie. Diese Programme ermöglichen es:

  • sensiblen Daten vom Gerät zu sammeln,
  • zusätzliche Komponenten auf Befehl des Operators nachzuladen,
  • die gestohlenen Daten zur Übernahme von Konten und zur Durchführung unautorisierter Finanztransaktionen zu nutzen.

Aus MITRE-ATT&CK-Sicht gehören zu den relevanten Techniken in dieser Kampagne insbesondere T1566 Phishing (einschließlich Messaging-Kanälen und Voice-Phishing) sowie Ketten, die mit der Installation bösartiger mobiler Apps verbunden sind.

Bedrohungskontext: Von „Spionage“-Versprechen bis zur vollständigen Geräteübernahme

CallPhantom und GoldFactory illustrieren zwei Entwicklungsstufen des mobilen Betrugs:

  • Im Fall von CallPhantom nutzen die Angreifer den Wunsch der Nutzer aus, sich unrechtmäßigen Zugang zu fremden Daten zu verschaffen. Durch das Versprechen „spionageartiger“ Funktionen (Einsicht in fremde Anruf- und Nachrichtenprotokolle) verkaufen sie faktisch nur heiße Luft, installieren aber keine Trojaner auf den Geräten und fordern keine gefährlichen Berechtigungen an.
  • Im Fall von GoldFactory wird nicht nur das Vertrauen in Marken ausgenutzt, sondern auch die technische Unkenntnis bei der Installation von APKs außerhalb des offiziellen Stores. Dies führt zu einer vollständigen Fernsteuerung des Geräts mit anschließender Geldentwendung.

Beiden Schemen ist gemeinsam, dass sie das Vertrauen in folgende Faktoren massiv ausnutzen:

  • offizielle Verteilungskanäle (Google Play, WhatsApp als gewohnter Kommunikationskanal);
  • bekannte Marken (staatliche Services, Zahlungs-Apps);
  • formal legale Monetarisierungsinstrumente (offizielles Google-Play-Billing, UPI).

Die Tatsache, dass mehr als 7 Mio. Nutzer Apps installiert haben, die aus rechtlicher Sicht offensichtlich fragwürdige Funktionen versprechen (Einsicht in fremde Anrufprotokolle), zeigt ein ernstes Problem: Ein erheblicher Teil der Nutzerbasis ist bereit, die Privatsphäre anderer bewusst zu verletzen, wenn es bequem erscheint – und genau das machen sich Betrüger zunutze.

Wirkungsanalyse

Besonders gefährdet sind:

  • private Android-Nutzer in Indien und Ländern der APAC-Region (CallPhantom) sowie in Indonesien (GoldFactory);
  • Organisationen mit BYOD-Policy, bei denen private Geräte von Mitarbeitern für den Zugriff auf Firmen-E-Mails, Messenger und Banking-Apps genutzt werden;
  • Banken und Fintech-Services, auf denen letztlich die Last von Ermittlungen und potenziellen Erstattungen bei betrügerischen Transaktionen liegt.

Mögliche Folgen, wenn nicht reagiert wird:

  • Unmittelbare finanzielle Schäden durch unkontrollierte Abonnements und Überweisungen.
  • Verlust der Kontrolle über Konten (E-Mail, Messenger, Online-Banking) und darauf folgende Angriffsketten (Manipulation von Zahlungsdaten, Geldforderungen an Kontakte).
  • Risiko aufsichtsrechtlicher Schritte gegen Organisationen, wenn kompromittierte Privatgeräte von Mitarbeitern für den Umgang mit vertraulichen Daten genutzt wurden.

Ein weiterer wesentlicher Risikofaktor für Banken und Zahlungsdienste ist der Reputationsschaden: Die Nutzung ihrer Marken und Apps (z. B. UPI-Wallets) in Betrugsszenarien untergräbt das Vertrauen in digitale Kanäle insgesamt.

Praktische Empfehlungen

Für Privatnutzer

  • Alle Apps aus der CallPhantom-Liste vom Gerät löschen, falls sie installiert wurden (anhand der Namen und Paket-IDs, die ESET in der Analyse zu CallPhantom aufführt).
  • Den Abonnement-Bereich in Google Play prüfen und alle unklaren kostenpflichtigen
Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen