Für fast alles gibt es inzwischen eine App. Essen bestellen, Parkschein lösen, den Stromverbrauch prüfen oder den Hund per GPS orten. Doch manche Apps versprechen Dinge, die technisch schlicht nicht funktionieren. Genau darauf sind offenbar Millionen Android-Nutzer hereingefallen.

Die Apps, die wir unter dem Namen „CallPhantom“ zusammenfassen, behaupten, Zugriff auf Anruflisten, SMS-Verläufe oder sogar WhatsApp-Anrufprotokolle beliebiger Telefonnummern zu ermöglichen. Wer die Funktion nutzen wollte, sollte bezahlen oder ein Abo abschließen. Das Problem: Die angeblichen Ergebnisse bestanden lediglich aus zufällig generierten Daten.

Unsere Analyse brachte insgesamt 28 dieser Apps ans Licht. Sie waren im Google Play Store verfügbar und wurden zusammen mehr als 7,3 Millionen Mal heruntergeladen. Als Partner der App Defense Alliance informierten wir Google über unsere Erkenntnisse. Inzwischen wurden alle in diesem Bericht genannten Apps aus dem Play Store entfernt.

Die wichtigsten Punkte in diesem Blogpost:
  • Ein neuer Android-Betrug namens CallPhantom verspricht gegen Bezahlung Zugriff auf Anrufprotokolle, SMS-Daten und WhatsApp-Anruflisten beliebiger Telefonnummern.
  • Wir haben 28 dieser Apps im Google Play Store identifiziert. Zusammen kamen sie auf mehr als 7,3 Millionen Downloads.
  • Ein Teil der Apps umging bewusst das offizielle Abrechnungssystem von Google Play. Dadurch wird es für Opfer deutlich schwieriger, ihr Geld zurückzubekommen.

Untersuchung

Im November 2025 stießen wir auf einen Reddit-Beitrag über eine App namens „Call History of Any Number“, die damals im Google Play Store angeboten wurde. Die Anwendung versprach, den Anrufverlauf jeder gewünschten Telefonnummer anzeigen zu können. Veröffentlicht wurde sie unter dem Entwicklernamen „Indian gov.in“, hatte allerdings keinerlei Verbindung zur indischen Regierung.

Figure 1. Call History of Any Number app on Google Play
Abbildung 1. Anrufliste von Any Number auf Google Play

Schon ein erster Blick auf die App machte deutlich, dass hier etwas nicht stimmen konnte. Unsere Analyse zeigte schnell: Die angeblichen Anrufdaten waren komplett erfunden. Die App erzeugte zufällige Telefonnummern und kombinierte sie mit fest hinterlegten Namen, Uhrzeiten und Gesprächsdauern, die direkt im Code gespeichert waren. Erst nach einer Zahlung bekamen Nutzer diese gefälschten Daten überhaupt angezeigt.

Figure 2. Hardcoded call log data used by the app
Abbildung 2. Hartcodierte Anrufprotokolldaten, die von der App verwendet werden

Ein Screenshot der gefälschten Anrufprotokolldaten wurde sogar in die Auflistung der App aufgenommen, um die Funktionalität der App zu demonstrieren, wie in Abbildung 3 dargestellt.

Figure 3. Screenshots from Google Play
Abbildung 3. Screenshots von Google Play, die scheinbar die Funktionalität der betrügerischen App demonstrieren; die Protokolle werden nach dem Zufallsprinzip aus hartcodierten Daten generiert

Besonders dreist: Selbst die Screenshots in der Beschreibung der App zeigten bereits diese künstlich erzeugten „Anrufprotokolle“ und sollten offenbar die angebliche Funktionalität glaubwürdiger wirken lassen. Im Verlauf unserer Untersuchung fanden wir weitere Apps mit identischem Verhalten. Insgesamt identifizierten wir 28 Anwendungen, die nach demselben Prinzip funktionierten. Am 16. Dezember 2025 meldeten wir den gesamten Satz betrügerischer Apps an Google. Zum Zeitpunkt der Veröffentlichung dieses Artikels waren sämtliche gemeldeten Anwendungen entfernt worden.

Optisch unterschieden sich viele der Anwendungen deutlich voneinander. Manche wirkten schlicht, andere überraschend professionell gestaltet. Das eigentliche Ziel blieb jedoch immer gleich: gefälschte Kommunikationsdaten erzeugen und Nutzer dafür bezahlen lassen.

Figure 4. Examples of CallPhantom apps found on the Play Store
Abbildung 4. Beispiele für CallPhantom-Apps, die im Play Store gefunden wurden
Figure 5. Examples of CallPhantom initial screens
Abbildung 5. Beispiele für CallPhantom-Startbildschirme

Überblick über die Kampagne

Die meisten der von uns gefundenen CallPhantom-Apps richteten sich an Nutzer in Indien und anderen Regionen des asiatisch-pazifischen Raums. Häufig war die indische Ländervorwahl +91 bereits voreingestellt. Zudem unterstützten viele der Apps UPI, ein in Indien weit verbreitetes Zahlungssystem. 

In den Bewertungen häuften sich Beschwerden frustrierter Nutzer. Viele berichteten, dass sie bezahlt hatten, aber nie echte Daten erhielten (siehe Abbildung 6).

Figure 6. Negative reviews for one of the fraudulent apps
Abbildung 6. Negative Bewertungen für eine der betrügerischen Apps

Wie genau die Apps verbreitet wurden, lässt sich nicht sicher sagen. Wahrscheinlich setzten die Betreiber gezielt auf die Neugier potenzieller Opfer. Die Aussicht, heimlich Einblick in private Kommunikationsdaten anderer Menschen zu erhalten, dürfte für manche offenbar verlockend genug gewesen sein. Dazu kamen positive Bewertungen, die teilweise ebenfalls gefälscht wirkten.

Wie CallPhantom funktioniert

Bei unserer Analyse ließen sich die Apps grob in zwei Gruppen einteilen.

Die erste Gruppe enthielt fest programmierte Namen, Ländervorwahlen und Textbausteine direkt im Code. Diese wurden mit zufällig generierten Telefonnummern kombiniert und den Nutzern anschließend als angebliche Treffer präsentiert. Wer den vollständigen „Verlauf“ sehen wollte, musste bezahlen.

Figure 7. Code responsible for generating messages
Abbildung 7. Für die Generierung von Nachrichten verantwortlicher Code

Die zweite Gruppe ging etwas anders vor. Hier sollten Nutzer zunächst eine E-Mail-Adresse eingeben. Angeblich sollte der abgefragte Anrufverlauf anschließend dorthin geschickt werden. Tatsächlich wurde aber auch hier erst nach einer Zahlung überhaupt etwas generiert.

Figure 8. CallPhantom requests the user’s email address
Abbildung 8. CallPhantom fordert die E-Mail-Adresse des Benutzers an, an die die Anrufprotokolle angeblich gesendet werden sollen

Im Allgemeinen haben die CallPhantom-Anwendungen eine einfache Benutzeroberfläche und fordern keine aufdringlichen oder sensiblen Berechtigungen an - das ist auch nicht nötig. Zufälligerweise enthalten sie auch keine Funktionen, die echte Anruf-, SMS- oder WhatsApp-Daten abrufen können.

In den von uns untersuchten Apps kamen drei unterschiedliche Zahlungsmodelle zum Einsatz. Zwei davon verstießen gegen die Zahlungsrichtlinien von Google Play. 

Einige Apps nutzten reguläre In-App-Abonnements über das offizielle Google-Abrechnungssystem. Solche Käufe fallen grundsätzlich unter den Erstattungsschutz von Google.

Andere Anwendungen setzten dagegen auf externe Zahlungsdienste mit UPI-Unterstützung. Teilweise waren die Zahlungslinks direkt in den Apps hinterlegt, teilweise wurden sie dynamisch aus einer Firebase-Datenbank geladen. Dadurch konnten die Betreiber ihre Zahlungskonten jederzeit austauschen.

In manchen Fällen integrierten die Apps sogar eigene Kreditkartenformulare direkt in die Anwendung

Beispiele für diese Zahlungsmethoden sind in Abbildung 9 zu sehen.

Figure 9. Various payment options used by CallPhantom apps
Abbildung 9. Verschiedene von CallPhantom-Apps verwendete Zahlungsoptionen

Besonders aggressiv war eine zusätzliche Methode, die wir in einzelnen Apps beobachteten: Verließen Nutzer die Anwendung ohne Zahlung, erschienen plötzlich Benachrichtigungen im Stil neuer E-Mails. Darin hieß es, die angeforderten Anrufdaten seien eingetroffen. Ein Klick auf die Nachricht führte jedoch direkt zu einem kostenpflichtigen Abo-Bildschirm.

Figure 10. Deceptive notification displayed by CallPhantom to persuade users to subscribe
Abbildung 10. Täuschende Benachrichtigung, die von CallPhantom angezeigt wird, um die Nutzer zu einem Abonnement zu bewegen

Die Preise unterschieden sich teils erheblich. Angeboten wurden wöchentliche, monatliche oder jährliche Abonnements. Das teuerste Paket lag bei rund 80 US-Dollar. Der Durchschnittspreis für die günstigste Variante lag bei etwa fünf Euro.

Was tun, wenn wenn man bezahlt hat?

Wurde das Abo über das offizielle Google-Play-Abrechnungssystem abgeschlossen, lässt es sich direkt über den Play Store kündigen. Dazu genügt ein Blick in den Bereich „Zahlungen & Abonnements“ innerhalb der App. Abonnement bei Google Play kündigen, pausieren oder ändern.

Die in diesem Bericht beschriebenen Apps wurden inzwischen aus Google Play entfernt. Bestehende Abonnements wurden dadurch automatisch beendet.

Unter bestimmten Voraussetzungen sind auch Rückerstattungen möglich. Entscheidend sind dabei unter anderem der Zeitpunkt des Kaufs und die jeweiligen Google-Richtlinien. Support-Seite 

Schwieriger wird es bei Zahlungen außerhalb von Google Play. Wer seine Kreditkartendaten direkt in einer der Apps eingegeben oder über Drittanbieter bezahlt hat, muss sich an den jeweiligen Zahlungsdienstleister wenden.

Fazit

Mit CallPhantom haben wir eine neue Gruppe betrügerischer Android-Apps entdeckt, die vor ihrer Entfernung mehr als 7,3 Millionen Downloads erreichten.

Die Apps versprachen Zugriff auf Anruflisten, SMS-Verläufe und WhatsApp-Kommunikation beliebiger Telefonnummern. Technisch ist das in der behaupteten Form jedoch nicht möglich. Ziel der Betreiber war offenbar ausschließlich, die Neugier der Nutzer auszunutzen und sie zu kostenpflichtigen Abonnements zu bewegen.

Besonders problematisch: Viele der Anwendungen umgingen bewusst das offizielle Bezahlsystem von Google Play. Dadurch wird es für Betroffene deutlich komplizierter, Rückerstattungen zu erhalten.

Unsere Analyse zeigte außerdem, dass sämtliche angezeigten „Ergebnisse“ künstlich erzeugt wurden. Häufig nutzten die Apps fest hinterlegte indische Telefonnummern, vordefinierte Namen und generierte Zeitstempel, die als echte Kommunikationsdaten ausgegeben wurden.

Wer über Google Play bezahlt hat, kann unter Umständen eine Rückerstattung beantragen. Schwieriger wird es bei Zahlungen über externe Anbieter oder direkt eingegebene Kreditkartendaten.

Bei Fragen zu unserer auf WeLiveSecurity veröffentlichten Forschung kontaktieren Sie uns bitte unter threatintel@eset.com.
ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.

Analysierte CallPhantom-Anwendungen

App name Package name Number of downloads
Call history : any number deta calldetaila.ndcallhisto.rytogetan.ynumber 3M+
Call History of Any Number com.pixelxinnovation.manager 1M+
Call Details of Any Number com.app.call.detail.history 1M+
Call History Any Number Detail sc.call.ofany.mobiledetail 500K+
Call History Any Number Detail com.cddhaduk.callerid.block.contact 500K+
Call History Of Any Number com.basehistory.historydownloading 500K+
Call History of Any Numbers com.call.of.any.number 100K+
Call History Of Any Number com.rajni.callhistory 100K+
Call History Any Number Detail com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager 100K+
Call History Any Number Detail com.callinformative.instantcallhistory.callhistorybluethem.callinfo 100K+
Call History Any Number detail com.call.detail.caller.history 100K+
Call History Any Number Detail com.anycallinformation.datadetailswho.callinfo.numberfinder 100K+
Call History Any Number Detail com.callhistory.callhistoryyourgf 100K+
Call History Any Number com.calldetails.smshistory.callhistoryofanynumber 50K+
Call History Any Number Detail com.callhistory.anynumber.chapfvor.history 50K+
Call History of Any Number com.callhistory.callhistoryany.call 50K+
Call History Any Number Detail com.name.factor 50K+
Call History Of Any Number com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber 50K+
Call History Of Any Number com.chdev.callhistory 10K+
Phone Call History Tracker com.phone.call.history.tracker 10K+
Call History- Any Number Deta com.pdf.maker.pdfreader.pdfscanner 10K+
Call History Of Any Number com.any.numbers.calls.history 10K+
Call History Any Number Detail com.callapp.historyero 1K+
Call History - Any Number Data all.callhistory.detail 500+
Call History For Any Number com.easyranktools.callhistoryforanynumber 100+
Call History of Numbers com.sbpinfotech.findlocationofanynumber 100+
Call History of Any Number callhistoryeditor.callhistory.numberdetails.calleridlocator 50+
Call History Pro com.all_historydownload.anynumber.callhistorybackup 50+

IoCs

Eine umfassende Liste von Kompromissindikatoren (Indicators of Compromise, IoCs) und Beispielen finden Sie in unserem GitHub-Repository.

Dateien

SHA-1 Filename Detection Description
799BB5127CA54239D3D4A14367DB3B712012CF14 all.callhistory.detail.apk Android/CallPhantom.K Android CallPhantom.
56A4FD71D1E4BBA2C5C240BE0D794DCFF709D9EB calldetaila.ndcallhisto.rytogetan.ynumber.apk Android/CallPhantom.M Android CallPhantom.
EC5E470753E76614CD28ECF6A3591F08770B7215 callhistoryeditor.callhistory.numberdetails.calleridlocator.apk Android/CallPhantom.F Android CallPhantom.
77C8B7BEC79E7D9AE0D0C02DEC4E9AC510429AD8 com.all_historydownload.anynumber.callhistorybackup.apk Android/CallPhantom.G Android CallPhantom.
9484EFD4C19969F57AFB0C21E6E1A4249C209305 com.any.numbers.calls.history.apk Android/CallPhantom.L Android CallPhantom.
CE97CA7FEECDCAFC6B8E9BD83A370DFA5C336C0A com.anycallinformation.datadetailswho.callinfo.numberfinder.xapk Android/CallPhantom.B Android CallPhantom.
FC3BA2EDAC0BB9801F8535E36F0BCC49ADA5FA5A com.app.call.detail.history.apk Android/CallPhantom.N Android CallPhantom.
B7B80FA34A41E3259E377C0D843643FF736803B8 com.basehistory.historydownloading.xapk Android/CallPhantom.O Android CallPhantom.
F0A8EBD7C4179636BE752ECCFC6BD9E4CD5C7F2C com.call.detail.caller.history.xapk Android/CallPhantom.C Android CallPhantom.
D021E7A0CF45EECC7EE8F57149138725DC77DC9A com.call.of.any.number.apk Android/CallPhantom.Q Android CallPhantom.
04D2221967FFC4312AFDC9B06A0B923BF3579E93 com.callapp.historyero.apk Android/CallPhantom.E Android CallPhantom.
CB31ED027FADBFA3BFFDBC8A84EE1A48A0B7C11D com.calldetails.smshistory.callhistoryofanynumber.apk Android/CallPhantom.Q Android CallPhantom.
C840A85B5FBAF1ED3E0F18A10A6520B337A94D4C com.callhistory.anynumber.chapfvor.history.xapk Android/CallPhantom.J Android CallPhantom.
BB6260CA856C37885BF9E952CA3D7E95398DDABF com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager.apk Android/CallPhantom.S Android CallPhantom.
55D46813047E98879901FD2416A23ACF8D8828F5 com.callhistory.callhistoryany.call.apk Android/CallPhantom.T Android CallPhantom.
E23D3905443CDBF4F1B9CA84A6FF250B6D89E093 com.callhistory.callhistoryyourgf.apk Android/CallPhantom.D Android CallPhantom.
89ECEC01CCB15FCDD2F64E07D0E876A9E79DD3CE com.callinformative.instantcallhistory.callhistorybluethem.callinfo.xapk Android/CallPhantom.B Android CallPhantom.
8EC557302145B40FE0898105752FFF5E357D7AC9 com.cddhaduk.callerid.block.contact.xapk Android/CallPhantom.U Android CallPhantom.
6F72FF58A67EF7AAA79CE2342012326C7B46429D com.easyranktools.callhistoryforanynumber.apk Android/CallPhantom.H Android CallPhantom.
28D3F36BD43D48F02C5058EDD1509E4488112154 com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber.xapk Android/CallPhantom.D Android CallPhantom.
47CEE9DED41B953A84FC9F6ED556EC3AF5BD9345 com.chdev.callhistory.xapk Android/CallPhantom.V Android CallPhantom.
9199A376B433F888AFE962C9BBD991622E8D39F9 com.name.factor.apk Android/CallPhantom.P Android CallPhantom.
053A6A723FA2BFDA8A1B113E8A98DD04C6EEF72A com.pdf.maker.pdfreader.pdfscanner.apk Android/CallPhantom.W Android CallPhantom.
4B537A7152179BBA19D63C9EF287F1AC366AB5CB com.phone.call.history.tracker.apk Android/CallPhantom.I Android CallPhantom.
87F6B2DB155192692BAD1F26F6AEBB04DBF23AAD com.pixelxinnovation.manager.apk Android/CallPhantom.X Android CallPhantom.
583D0E7113795C7D68686D37CE7A41535CF56960 com.rajni.callhistory.apk Android/CallPhantom.Y Android CallPhantom.
45D04E06D8B329A01E680539D798DD3AE68904DA com.sbpinfotech.findlocationofanynumber.xapk Android/CallPhantom.A Android CallPhantom.
34393950A950F5651F3F7811B815B5A21F84A84B sc.call.ofany.mobiledetail.apk Android/CallPhantom.Z Android CallPhantom.

Netzwerk

IP Domain Hosting provider First seen Details
34.120.160[.]131

call-history-7cda4-default-rtdb.firebaseio[.]com

call-history-ecc1e-default-rtdb.firebaseio[.]com

 Google LLC 2025‑05‑14 CallPhantom C&C server.
34.120.206[.]254

ch-ap-4-default-rtdb.firebaseio[.]com

chh1-ac0a3-default-rtdb.firebaseio[.]com

 

 Google LLC 2025‑04‑17 CallPhantom C&C server.

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit der Version 18 des MITRE ATT&CK Frameworks erstellt.

Tactic ID Name Description
Command and Control T1437.001 Application Layer Protocol: Web Protocols CallPhantom uses Firebase Cloud Messaging for C&C communication.
Impact T1643 Generate Traffic from Victim CallPhantom tries to achieve fraudulent billing.