28 мошеннических приложений под общим кодовым именем CallPhantom успели набрать более 7,3 млн установок в Google Play, обещая доступ к историям звонков и сообщений «любого номера», но на деле подписывая пользователей на платные услуги с поддельными данными; параллельно в Индонезии группировка GoldFactory через поддельные налоговые и банковские сервисы, вредоносные APK и социальную инженерию похитила у пользователей около 2 млн долларов, что делает связку «официальные бренды + мобильные платежи» ключевым вектором риска для частных лиц и компаний в регионе Азия–Тихоокеанский регион.

Технические детали: две разные, но родственные схемы

CallPhantom: масштабная подписочная афера в Google Play

По данным исследования ESET, под названием CallPhantom скрывается набор из 28 приложений для Android, размещенных в официальном магазине Google Play и ориентированных главным образом на пользователей в Индии и странах АТР. Ключевые параметры схемы:

• Совокупные установки: более 7,3 млн, при этом одно приложение превысило отметку в 3 млн загрузок.
• Функциональное обещание: просмотр журнала звонков, SMS и даже звонков в WhatsApp «любого номера».
• Фактическая реализация: в приложениях вообще отсутствует код для доступа к журналам звонков, SMS или WhatsApp; данные о звонках и абонентах — заранее зашитые фиктивные записи, генерируемые случайным образом.
• Разрешения: приложения не запрашивают чувствительные разрешения и имеют крайне простой интерфейс, что снижает подозрения со стороны пользователей и автоматических проверок.

Отдельные приложения публиковались под псевдонимами, призванными вызвать доверие, включая имя разработчика вида «Indian gov.in», что должно было ассоциироваться с государственными структурами Индии.

Механика монетизации:

• Пользователь вводит интересующий номер телефона (иногда также адрес электронной почты «для доставки отчета»).
• До оплаты данные не показываются вообще.
• Для «разблокировки» предлагается оформить платную подписку или разовый платеж.
• После оплаты пользователь получает не реальные сведения, а сгенерированные псевдологи, зашитые в исходный код приложения.

Использовались три основных канала приема платежей:

• Официальная биллинговая система Google Play — формально легальный, но примененный для мошеннической услуги.
• Сторонние UPI‑приложения (Unified Payments Interface), в том числе Google Pay, PhonePe и Paytm — такой прием противоречит правилам Google Play.
• Формы ввода банковских карт внутри приложения — также нарушение политики Google.

Стоимость «подписок» варьировалась примерно от 6 до 80 долларов. По информации ESET, пользователи, оформившие подписку через официальный биллинг Google Play, могут претендовать на возврат по действующим правилам возвратов Google Play, однако платежи через UPI и прямой ввод карт не могут быть компенсированы силами Google — пользователи остаются один на один с банками и платежными сервисами.

В ряде случаев применялись дополнительные приемы давления:

• Если пользователь закрывает приложение, не оплатив подписку, ему показывается уведомление о том, что «история звонков по номеру X отправлена на электронную почту».
• Переход по уведомлению возвращает его не к «отчету», а к экрану оформления подписки.

По следам отзывов и обсуждений в открытых источниках, активность CallPhantom прослеживается как минимум с ноября 2025 года. На момент публикации ESET все выявленные приложения удалены из Google Play.

GoldFactory: фрод через поддельный налоговый сервис и мобильные трояны

Компанией Group-IB зафиксирована параллельная по сути, но более технически сложная кампания в Индонезии, связанная с финансово мотивированным кластером GoldFactory. По оценке исследователей, злоумышленники похитили около 2 млн долларов у индонезийских пользователей, маскируясь под налоговую платформу страны CoreTax и другие доверенные бренды. Подробности представлены в отчете Group-IB о кампании GoldFactory.

Ключевые элементы цепочки атаки:

• Фишинговые сайты, имитирующие CoreTax и более 16 других популярных сервисов.
• Социальная инженерия через WhatsApp — рассылка ссылок и инструкций от лица «налоговой» или «банка».
• Побочная загрузка вредоносных APK (sideloading) вместо установки приложений из Google Play.
• Голосовое мошенничество (vishing) для убеждения жертвы завершить установку и предоставить нужные права.

После установки на устройство загружается Android‑вредонос, в том числе семейства Gigabud RAT, MMRat и Taotie. Эти программы позволяют:

• Собирать чувствительные данные с устройства.
• Догружать дополнительные компоненты по команде оператора.
• Использовать украденные данные для захвата учетных записей и проведения несанкционированных финансовых операций.

С точки зрения MITRE ATT&CK, значимыми техниками в этой кампании являются, в частности, T1566 Phishing (включая каналы сообщений и голосовой фишинг) и цепочки, связанные с установкой вредоносных мобильных приложений.

Контекст угроз: от «шпионских» обещаний до полного захвата устройства

CallPhantom и GoldFactory иллюстрируют два этапа эволюции мобильного мошенничества:

• В случае CallPhantom злоумышленники эксплуатируют желание пользователей получить нелегитимный доступ к чужим данным. Обещая «шпионский» функционал (чтение чужих журналов звонков и сообщений), они фактически продают воздух, но при этом не устанавливают на устройства трояны и не запрашивают опасные разрешения.
• В случае GoldFactory эксплуатируется уже не только доверие к брендам, но и техническая неграмотность при установке APK вне официального магазина, что приводит к полноценному удаленному управлению устройством с последующей кражей денег.

Общее у обеих схем — глубокое использование доверия к:

• официальным каналам распространения (Google Play, WhatsApp как привычный канал коммуникации);
• известным брендам (государственные сервисы, платежные приложения);
• формально легальным инструментам монетизации (официальный биллинг Google Play, UPI).

Факт, что более 7 млн пользователей установили приложения, обещающие заведомо сомнительный с юридической точки зрения функционал (просмотр чужих журналов звонков), показывает серьезную проблему: значительная часть аудитории готова сознательно нарушать приватность других в обмен на удобство, и этим готовы пользоваться мошенники.

Оценка воздействия

Наибольшему риску подвержены:

• частные пользователи Android в Индии и странах АТР (CallPhantom) и в Индонезии (GoldFactory);
• организации с политикой BYOD, где личные устройства сотрудников используются для доступа к корпоративной почте, мессенджерам и банковским приложениям;
• банки и финтех‑сервисы, на которые в конечном итоге ложится бремя расследований и потенциальных компенсаций по мошенническим транзакциям.

Последствия при отсутствии реагирования:

• Прямой финансовый ущерб от неподконтрольных подписок и переводов.
• Потеря контроля над учетными записями (электронная почта, мессенджеры, интернет‑банк) и последующие цепочки атак (подмена реквизитов, выманивание денег у контактов).
• Риск регуляторных претензий к организациям, если взломанные личные устройства сотрудников использовались для работы с конфиденциальными данными.

Отдельный риск для банков и платежных сервисов — репутационный: использование их бренда и приложений (например, UPI‑кошельков) в мошеннических схемах подрывает доверие к цифровым каналам в целом.

Практические рекомендации

Для частных пользователей

• Удалить с устройства все приложения из списка CallPhantom, если они были установлены (по названиям и пакетам, приведенным ESET в исследовании о CallPhantom).
• Проверить раздел подписок в Google Play и отменить все непонятные платные подписки; при необходимости запросить возврат через официальные правила Google.
• Проверить выписки по картам и UPI‑приложениям на предмет регулярно списываемых небольших сумм в пользу неизвестных получателей; при обнаружении — немедленно блокировать карту и подавать претензию в банк.
• Не устанавливать APK из файлов и ссылок, присланных по WhatsApp или другим мессенджерам, особенно если инициатор ссылается на «налоговую», «банк» или другой государственный орган; официальные сервисы направляют в Google Play или на проверяемые домены.
• Игнорировать любые предложения «посмотреть чужую историю звонков/SMS» как заведомо незаконные и высокорисковые.

Для компаний и финансовых организаций

• Политика мобильной безопасности. Для корпоративных и BYOD‑устройств внедрить контроль установленных приложений средствами MDM/EMM: запрещать доступ к корпоративным ресурсам с устройств, где обнаружены несертифицированные приложения с подобным функционалом (просмотр чужих звонков, «безлимитный мониторинг» и т.п.).
• Обучение персонала. Включить в программы awareness‑тренингов кейсы CallPhantom и GoldFactory как примеры:
  • злоупотребления доверием к Google Play и государственным сервисам;
  • рисков установки APK из мессенджеров;
  • опасности обещаний «получить доступ к чужим данным».
• Фрод‑мониторинг. Банкам и финтех‑компаниям учесть сценарии GoldFactory при настройке систем антифрода: аномальные транзакции с новых или недавно «переустановленных» устройств, нетипичное поведение клиента после недавней установки APK, полученного по ссылке.
• Коммуникация с клиентами. Публиковать четкие инструкции, что:
  • организация не рассылает APK по WhatsApp;
  • все официальные приложения публикуются только в проверенных магазинах;
  • налоговые и банковские уведомления не содержат требований установить программу из файла.
• Реагирование на инциденты. При выявлении случаев, схожих с описанными в отчете Group-IB о GoldFactory, включать в расследование мобильный компонент: анализ установленных приложений, прав доступа и сетевой активности.

Ключевой вывод для пользователей и организаций в регионе АТР: необходимо немедленно пересмотреть доверие к «официальности» канала как к достаточному критерию безопасности и внедрить конкретные практики — от регулярной проверки подписок и выписок до жесткого контроля источников установки приложений и отказа от любого программного обеспечения, обещающего доступ к чужим данным.