28 шахрайських застосунків під загальним кодовим ім’ям CallPhantom встигли набрати понад 7,3 млн встановлень у Google Play, обіцяючи доступ до історій дзвінків і повідомлень «будь‑якого номера», але насправді оформлюючи на користувачів платні послуги з підробленими даними; паралельно в Індонезії угруповання GoldFactory через фальшиві податкові та банківські сервіси, шкідливі APK і соціальну інженерію викрало в користувачів близько 2 млн доларів, що робить зв’язку «офіційні бренди + мобільні платежі» ключовим вектором ризику для приватних осіб і компаній в Азійсько‑Тихоокеанському регіоні.

Технічні деталі: дві різні, але споріднені схеми

CallPhantom: масштабна підписна афера в Google Play

За даними дослідження ESET, під назвою CallPhantom ховається набір із 28 застосунків для Android, розміщених в офіційному магазині Google Play і орієнтованих головним чином на користувачів в Індії та країнах АТР. Ключові параметри схеми:

• Сукупна кількість встановлень: понад 7,3 млн, при цьому один застосунок перевищив позначку в 3 млн завантажень.
• Обіцяний функціонал: перегляд журналу дзвінків, SMS і навіть дзвінків у WhatsApp «будь‑якого номера».
• Фактична реалізація: у застосунках взагалі відсутній код для доступу до журналів дзвінків, SMS чи WhatsApp; дані про дзвінки та абонентів — заздалегідь вшиті фіктивні записи, що генеруються випадковим чином.
• Дозволи: застосунки не запитують чутливих дозволів і мають вкрай простий інтерфейс, що знижує підозри з боку користувачів та автоматичних перевірок.

Окремі застосунки публікувалися під псевдонімами, покликаними викликати довіру, зокрема з іменем розробника на кшталт «Indian gov.in», що мало асоціюватися з державними структурами Індії.

Механіка монетизації:

• Користувач вводить номер телефону, який його цікавить (іноді також адресу електронної пошти «для доставки звіту»).
• До оплати дані взагалі не відображаються.
• Для «розблокування» пропонується оформити платну підписку або одноразовий платіж.
• Після оплати користувач отримує не реальні відомості, а згенеровані псевдологи, вшиті в початковий код застосунку.

Використовувалися три основні канали приймання платежів:

• Офіційна білінгова система Google Play — формально легальна, але використана для шахрайської послуги.
• Сторонні UPI‑застосунки (Unified Payments Interface), зокрема Google Pay, PhonePe і Paytm — такий підхід суперечить правилам Google Play.
• Форми введення банківських карток усередині застосунку — також порушення політики Google.

Вартість «підписок» коливалася приблизно від 6 до 80 доларів. За інформацією ESET, користувачі, які оформили підписку через офіційний білінг Google Play, можуть претендувати на повернення згідно з чинними правилами повернень Google Play, однак платежі через UPI та пряме введення карток не можуть бути компенсовані силами Google — користувачі залишаються сам на сам із банками та платіжними сервісами.

У низці випадків застосовувалися додаткові прийоми тиску:

• Якщо користувач закриває застосунок, не оплативши підписку, йому показується сповіщення про те, що «історію дзвінків за номером X надіслано на електронну пошту».
• Перехід за сповіщенням повертає його не до «звіту», а до екрана оформлення підписки.

За слідами відгуків і обговорень у відкритих джерелах, активність CallPhantom відстежується щонайменше з листопада 2025 року. На момент публікації ESET усі виявлені застосунки видалені з Google Play.

GoldFactory: фрод через фальшивий податковий сервіс і мобільні трояни

Компанією Group-IB зафіксовано схожу за суттю, але технічно складнішу кампанію в Індонезії, пов’язану з фінансово вмотивованим кластером GoldFactory. За оцінкою дослідників, зловмисники викрали близько 2 млн доларів в індонезійських користувачів, маскуючись під податкову платформу країни CoreTax та інші довірені бренди. Подробиці наведені в звіті Group-IB про кампанію GoldFactory.

Ключові елементи ланцюга атаки:

• Фішингові сайти, що імітують CoreTax і понад 16 інших популярних сервісів.
• Соціальна інженерія через WhatsApp — розсилка посилань і інструкцій від імені «податкової» або «банку».
• Бічне завантаження шкідливих APK (sideloading) замість встановлення застосунків із Google Play.
• Голосове шахрайство (vishing) для переконання жертви завершити встановлення й надати потрібні права.

Після встановлення на пристрій завантажується Android‑шкідник, зокрема сімейств Gigabud RAT, MMRat і Taotie. Ці програми дають змогу:

• Збирати чутливі дані з пристрою.
• Довантажувати додаткові компоненти за командою оператора.
• Використовувати викрадені дані для захоплення облікових записів і проведення несанкціонованих фінансових операцій.

З погляду MITRE ATT&CK, значущими техніками в цій кампанії є, зокрема, T1566 Phishing (включно з каналами повідомлень і голосовим фішингом) та ланцюги, пов’язані з установленням шкідливих мобільних застосунків.

Контекст загроз: від «шпигунських» обіцянок до повного захоплення пристрою

CallPhantom і GoldFactory демонструють два етапи еволюції мобільного шахрайства:

• У випадку CallPhantom зловмисники експлуатують бажання користувачів отримати нелегітимний доступ до чужих даних. Обіцяючи «шпигунський» функціонал (читання чужих журналів дзвінків і повідомлень), вони фактично продають повітря, але при цьому не встановлюють на пристрої трояни й не запитують небезпечних дозволів.
• У випадку GoldFactory експлуатується вже не лише довіра до брендів, а й технічна неграмотність під час встановлення APK поза офіційним магазином, що призводить до повноцінного віддаленого керування пристроєм із подальшим викраденням грошей.

Спільним для обох схем є глибоке використання довіри до:

• офіційних каналів розповсюдження (Google Play, WhatsApp як звичний канал комунікації);
• відомих брендів (державні сервіси, платіжні застосунки);
• формально легальних інструментів монетизації (офіційний білінг Google Play, UPI).

Той факт, що понад 7 млн користувачів установили застосунки, які обіцяють завідомо сумнівний з юридичного погляду функціонал (перегляд чужих журналів дзвінків), свідчить про серйозну проблему: значна частина аудиторії готова свідомо порушувати приватність інших в обмін на зручність, і цим готові користуватися шахраї.

Оцінка впливу

Найбільшому ризику піддаються:

• приватні користувачі Android в Індії та країнах АТР (CallPhantom) і в Індонезії (GoldFactory);
• організації з політикою BYOD, де особисті пристрої співробітників використовуються для доступу до корпоративної пошти, месенджерів і банківських застосунків;
• банки та фінтех‑сервіси, на які зрештою лягає тягар розслідувань і потенційних компенсацій за шахрайськими транзакціями.

Наслідки за відсутності реагування:

• Прямі фінансові збитки від неконтрольованих підписок і переказів.
• Втрата контролю над обліковими записами (електронна пошта, месенджери, інтернет‑банк) і подальші ланцюги атак (підміна реквізитів, виманювання грошей у контактів).
• Ризик регуляторних претензій до організацій, якщо зламані особисті пристрої співробітників використовувалися для роботи з конфіденційними даними.

Окремий ризик для банків і платіжних сервісів — репутаційний: використання їхнього бренду й застосунків (наприклад, UPI‑гаманців) у шахрайських схемах підриває довіру до цифрових каналів загалом.

Практичні рекомендації

Для приватних користувачів

• Видалити з пристрою всі застосунки зі списку CallPhantom, якщо вони були встановлені (за назвами та пакетами, наведеними ESET у дослідженні про CallPhantom).
• Перевірити розділ підписок у Google Play й скасувати всі незрозумілі платні підписки; за потреби запросити повернення через офіційні правила Google.
• Перевірити виписки за картками та UPI‑застосунками на предмет регулярного списання невеликих сум на користь невідомих отримувачів; у разі виявлення — негайно блокувати картку й подавати претензію до банку.
• Не встановлювати APK із файлів і посилань, надісланих через WhatsApp або інші месенджери, особливо якщо ініціатор посилається на «податкову», «банк» чи інший державний орган; офіційні сервіси скеровують до Google Play або на перевірені домени.
• Ігнорувати будь‑які пропозиції «подивитися чужу історію дзвінків/SMS» як завідомо незаконні та високоризикові.

Для компаній і фінансових організацій

• Політика мобільної безпеки. Для корпоративних і BYOD‑пристроїв упровадити контроль установлених застосунків засобами MDM/EMM: забороняти доступ до корпоративних ресурсів із пристроїв, де виявлено несертифіковані застосунки з подібним функціоналом (перегляд чужих дзвінків, «безлімітний моніторинг» тощо).
• Навчання персоналу. Включити до програм awareness‑тренінгів кейси CallPhantom і GoldFactory як приклади:
  • зловживання довірою до Google Play і державних сервісів;
  • ризиків встановлення APK із месенджерів;
  • небезпеки обіцянок «отримати доступ до чужих даних».
• Фрод‑моніторинг. Банкам і фінтех‑компаніям урахувати сценарії GoldFactory під час налаштування систем антифроду: аномальні транзакції з нових або нещодавно «перевстановлених» пристроїв, нетипова поведінка клієнта після нещодавнього встановлення APK, отриманого за посиланням.
• Комунікація з клієнтами. Публікувати чіткі інструкції, що:
  • організація не розсилає APK через WhatsApp;
  • усі офіційні застосунки публікуються лише в перевірених магазинах;
  • податкові та банківські сповіщення не містять вимог установити програму з файлу.
• Реагування на інциденти. У разі виявлення випадків, схожих з описаними у звіті Group-IB про GoldFactory, включати до розслідування мобільний компонент: аналіз установлених застосунків, прав доступу та мережевої активності.

Ключовий висновок для користувачів і організацій в АТР: необхідно негайно переглянути довіру до «офіційності» каналу як до достатнього критерію безпеки та впровадити конкретні практики — від регулярної перевірки підписок і виписок до жорсткого контролю джерел установлення застосунків і відмови від будь‑якого програмного забезпечення, що обіцяє доступ до чужих даних.