CallPhantom y GoldFactory: abuso de marcas oficiales y pagos móviles

Foto del autor

CyberSecureFox Editorial Team

28 aplicaciones fraudulentas bajo el nombre en clave común CallPhantom han logrado acumular más de 7,3 millones de instalaciones en Google Play, prometiendo acceso a historiales de llamadas y mensajes de «cualquier número», pero en realidad suscribiendo a los usuarios a servicios de pago con datos falsos; paralelamente, en Indonesia el grupo GoldFactory, a través de falsos servicios fiscales y bancarios, APK maliciosos e ingeniería social, robó a los usuarios alrededor de 2 millones de dólares, lo que convierte la combinación «marcas oficiales + pagos móviles» en un vector de riesgo clave para particulares y empresas en la región de Asia-Pacífico.

Detalles técnicos: dos esquemas diferentes, pero relacionados

CallPhantom: una estafa masiva de suscripciones en Google Play

Según un informe de ESET, bajo el nombre CallPhantom se oculta un conjunto de 28 aplicaciones para Android, publicadas en la tienda oficial Google Play y dirigidas principalmente a usuarios de India y de países de la región Asia-Pacífico. Parámetros clave del esquema:

  • Instalaciones totales: más de 7,3 millones, con una aplicación que superó la marca de 3 millones de descargas.
  • Promesa funcional: visualización del registro de llamadas, SMS e incluso llamadas de WhatsApp de «cualquier número».
  • Implementación real: en las aplicaciones no existe en absoluto código para acceder a los registros de llamadas, SMS o WhatsApp; los datos sobre llamadas y abonados son registros ficticios predefinidos, generados aleatoriamente.
  • Permisos: las aplicaciones no solicitan permisos sensibles y tienen una interfaz extremadamente simple, lo que reduce las sospechas por parte de los usuarios y de las comprobaciones automáticas.

Algunas aplicaciones se publicaron bajo seudónimos destinados a generar confianza, incluido un nombre de desarrollador del tipo «Indian gov.in», que debía asociarse con estructuras gubernamentales de India.

Mecánica de monetización:

  • El usuario introduce el número de teléfono de interés (a veces también una dirección de correo electrónico «para enviar el informe»).
  • Antes del pago, los datos no se muestran en absoluto.
  • Para «desbloquearlos» se propone contratar una suscripción de pago o efectuar un pago único.
  • Tras el pago, el usuario no recibe información real, sino pseudoregistros generados, incrustados en el código fuente de la aplicación.

Se utilizaron tres canales principales para la recepción de pagos:

  • Sistema de facturación oficial de Google Play, formalmente legal, pero utilizado para un servicio fraudulento.
  • Aplicaciones UPI (Unified Payments Interface) de terceros, incluidas Google Pay, PhonePe y Paytm; este uso contraviene las normas de Google Play.
  • Formularios de introducción de tarjetas bancarias dentro de la aplicación, lo que también constituye una infracción de las políticas de Google.

El coste de las «suscripciones» oscilaba aproximadamente entre 6 y 80 dólares. Según ESET, los usuarios que contrataron la suscripción a través de la facturación oficial de Google Play pueden solicitar reembolsos de acuerdo con las normas vigentes de devoluciones de Google Play; sin embargo, los pagos realizados mediante UPI y la introducción directa de tarjetas no pueden ser compensados por Google, por lo que los usuarios quedan solos frente a los bancos y los servicios de pago.

En algunos casos se utilizaron técnicas de presión adicionales:

  • Si el usuario cierra la aplicación sin pagar la suscripción, se le muestra una notificación de que «el historial de llamadas del número X se ha enviado por correo electrónico».
  • Al pulsar la notificación, no se le dirige al «informe», sino a la pantalla de contratación de la suscripción.

A partir de reseñas y debates en fuentes abiertas, la actividad de CallPhantom puede rastrearse al menos desde noviembre de 2025. En el momento de la publicación de ESET, todas las aplicaciones identificadas habían sido eliminadas de Google Play.

GoldFactory: fraude mediante un falso servicio fiscal y troyanos móviles

La empresa Group-IB ha registrado una campaña paralela en esencia, pero técnicamente más compleja, en Indonesia, vinculada al clúster motivado financieramente GoldFactory. Según los investigadores, los atacantes robaron unos 2 millones de dólares a usuarios indonesios, haciéndose pasar por la plataforma fiscal nacional CoreTax y otras marcas de confianza. Los detalles se presentan en el informe de Group-IB sobre la campaña GoldFactory.

Elementos clave de la cadena de ataque:

  • Sitios web de phishing que imitan CoreTax y más de otros 16 servicios populares.
  • Ingeniería social a través de WhatsApp, con el envío de enlaces e instrucciones en nombre de la «agencia tributaria» o del «banco».
  • Carga lateral de APK maliciosos (sideloading) en lugar de instalar aplicaciones desde Google Play.
  • Fraude telefónico (vishing) para convencer a la víctima de finalizar la instalación y conceder los permisos necesarios.

Tras la instalación en el dispositivo se descarga malware para Android, incluidos ejemplares de las familias Gigabud RAT, MMRat y Taotie. Estos programas permiten:

  • Recopilar datos sensibles del dispositivo.
  • Descargar componentes adicionales por orden del operador.
  • Utilizar los datos robados para tomar el control de cuentas y realizar operaciones financieras no autorizadas.

Desde el punto de vista de MITRE ATT&CK, las técnicas más relevantes en esta campaña son, en particular, T1566 Phishing (incluidos canales de mensajería y voice phishing) y las cadenas relacionadas con la instalación de aplicaciones móviles maliciosas.

Contexto de amenazas: de promesas «espía» a la toma total del dispositivo

CallPhantom y GoldFactory ilustran dos etapas en la evolución del fraude móvil:

  • En el caso de CallPhantom, los atacantes explotan el deseo de los usuarios de obtener acceso ilegítimo a datos ajenos. Al prometer funcionalidades «espía» (lectura de registros de llamadas y mensajes de otras personas), en realidad venden humo, pero no instalan troyanos en los dispositivos ni solicitan permisos peligrosos.
  • En el caso de GoldFactory se explota no solo la confianza en las marcas, sino también la falta de conocimientos técnicos a la hora de instalar APK fuera de la tienda oficial, lo que conduce a una toma de control remota completa del dispositivo y al posterior robo de dinero.

Lo que ambas tramas tienen en común es un uso profundo de la confianza en:

  • canales oficiales de distribución (Google Play, WhatsApp como canal de comunicación habitual);
  • marcas conocidas (servicios gubernamentales, aplicaciones de pago);
  • herramientas de monetización formalmente legítimas (facturación oficial de Google Play, UPI).

El hecho de que más de 7 millones de usuarios hayan instalado aplicaciones que prometen una funcionalidad claramente dudosa desde el punto de vista jurídico (visualizar registros de llamadas ajenos) revela un problema grave: una parte importante del público está dispuesta a violar conscientemente la privacidad de otros a cambio de comodidad, y los estafadores están dispuestos a aprovecharlo.

Evaluación del impacto

Están expuestos a mayor riesgo:

  • usuarios particulares de Android en India y países de Asia-Pacífico (CallPhantom) y en Indonesia (GoldFactory);
  • organizaciones con políticas BYOD, donde los dispositivos personales de los empleados se utilizan para acceder al correo corporativo, mensajería y aplicaciones bancarias;
  • bancos y servicios fintech, sobre los que en última instancia recae la carga de las investigaciones y las posibles compensaciones por transacciones fraudulentas.

Consecuencias en caso de no reaccionar:

  • Daño financiero directo por suscripciones y transferencias fuera de control.
  • Pérdida de control sobre cuentas (correo electrónico, mensajería, banca online) y posteriores cadenas de ataques (sustitución de datos de pago, extorsión de dinero a los contactos).
  • Riesgo de reclamaciones regulatorias contra las organizaciones si los dispositivos personales comprometidos de los empleados se utilizaron para trabajar con datos confidenciales.

Un riesgo separado para bancos y servicios de pago es el reputacional: el uso de sus marcas y aplicaciones (por ejemplo, monederos UPI) en esquemas fraudulentos socava la confianza en los canales digitales en general.

Recomendaciones prácticas

Para usuarios particulares

  • Eliminar del dispositivo todas las aplicaciones de la lista CallPhantom, si se hubieran instalado (por nombres y paquetes, según los datos de ESET en el informe sobre CallPhantom).
  • Revisar el apartado de suscripciones en Google Play y cancelar todas las suscripciones de pago desconocidas; en caso necesario, solicitar un reembolso a través de las normas oficiales de Google.
  • Revisar los extractos de las tarjetas y de las aplicaciones UPI en busca de pequeños importes cargados periódicamente a favor de beneficiarios desconocidos; si se detectan, bloquear de inmediato la tarjeta y presentar una reclamación al banco.
  • No instalar APK a partir de archivos y enlaces enviados por WhatsApp u otros mensajeros, especialmente si el remitente se presenta como «agencia tributaria», «banco» u otro organismo estatal; los servicios oficiales remiten a Google Play o a dominios verificables.
  • Ignorar cualquier oferta de «ver el historial de llamadas/SMS de otra persona», por ser claramente ilegal y de alto riesgo.

Para empresas y organizaciones financieras

  • Política de seguridad móvil. Para dispositivos corporativos y BYOD, implementar control de aplicaciones instaladas mediante MDM/EMM: denegar el acceso a recursos corporativos desde dispositivos en los que se detecten aplicaciones no certificadas con funcionalidades de este tipo (visualización de llamadas ajenas, «monitorización ilimitada», etc.).
  • Formación del personal. Incluir en los programas de concienciación ejemplos de CallPhantom y GoldFactory como casos de:
    • abuso de la confianza en Google Play y en servicios gubernamentales;
    • riesgos de instalar APK recibidos por mensajeros;
    • peligro de las promesas de «obtener acceso a datos ajenos».
  • Monitorización de fraude. Bancos y empresas fintech deben tener en cuenta los escenarios de GoldFactory al configurar sus sistemas antifraude: transacciones anómalas desde dispositivos nuevos o recientemente «restaurados», comportamiento atípico del cliente tras la instalación reciente de un APK recibido por enlace.
  • Comunicación con clientes. Publicar instrucciones claras indicando que:
    • la organización no envía APK por WhatsApp;
    • todas las aplicaciones oficiales se publican únicamente en tiendas verificadas;
    • las notificaciones fiscales y bancarias no contienen requisitos para instalar programas desde un archivo.
  • Respuesta a incidentes. Al detectar casos similares a los descritos en el informe de Group-IB sobre GoldFactory, incluir el componente móvil en la investigación: análisis de las aplicaciones instaladas, permisos de acceso y actividad de red.

La conclusión clave para usuarios y organizaciones en la región Asia-Pacífico es la necesidad de revisar de inmediato la confianza en la mera «oficialidad» del canal como criterio suficiente de seguridad e implantar prácticas concretas: desde la revisión periódica de suscripciones y extractos hasta el control estricto de las fuentes de instalación de aplicaciones y el rechazo de cualquier software que prometa acceso a datos ajenos.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio