Hoy en día hay una app para todo… ¿verdad? Bueno, consultar los registros de llamadas de un número de teléfono a elección no es una de esas cosas, como pudieron comprobar potencialmente millones de usuarios de Android tras pagar suscripciones de aplicaciones que prometían justamente eso..

Las aplicaciones infractoras, que denominamos CallPhantom en alusión a que la funcionalidad que ofrecen es inexistente, aseguran ofrecer acceso a historiales de llamadas, registros de SMS e incluso logs de llamadas de WhatsApp para cualquier número de teléfono. Para desbloquear esta supuesta funcionalidad, se solicita un pago; sin embargo, lo único que se obtiene a cambio son datos generados aleatoriamente.

Nuestra investigación identificó 28 aplicaciones fraudulentas de este tipo disponibles en la tienda Google Play, que de forma acumulada superaron los 7,3 millones de descargas. Como socios de App Defense Alliance, reportamos nuestros hallazgos a Google, que eliminó de Google Play todas las aplicaciones identificadas en este informe.

Puntos clave de este blogpost:
  • Una nueva estafa para Android, CallPhantom, afirma que proporciona acceso a registros de llamadas, registros de SMS e historial de llamadas de WhatsApp de cualquier número de teléfono a cambio de un pago.
  • Hemos identificado y denunciado 28 aplicaciones CallPhantom en Google Play, que se han descargado más de 7,3 millones de veces.
  • Algunas aplicaciones CallPhantom eluden el sistema de facturación oficial de Google Play, lo que complica las gestiones de reembolso de las víctimas.

Investigación

En noviembre de 2025, encontramos una publicación en Reddit en la que se analizaba una aplicación llamada Call History of Any Number, disponible en Google Play. La aplicación, mostrada en la Figura 1, afirma que puede recuperar el historial de llamadas de cualquier número de teléfono proporcionado por el usuario. Fue publicada bajo el nombre de desarrollador Indian gov.in, pero la aplicación no tiene ninguna asociación real con el gobierno de India.

Figure 1. Call History of Any Number app on Google Play
Figura 1. Historial de llamadas de la aplicación Any Number en Google Play

Como era de esperar, nuestro análisis mostró que los datos de “historial de llamadas” proporcionados por esta aplicación son completamente fabricados: la app genera números de teléfono aleatorios y los combina con nombres, horarios de llamadas y duraciones predefinidos, que estaban incorporados directamente en el código, como se muestra en la Figura 2. Estos datos falsos se presentan a las víctimas, pero solo después de realizar el pago.

Figure 2. Hardcoded call log data used by the app
Figura 2
Datos de registro de llamadas codificados utilizados por la aplicación

Una captura de pantalla de los datos de historial de llamadas fabricados incluso se incluía en la ficha de la aplicación en Google Play, presentada como una demostración de la funcionalidad de la app, como se muestra en la Figura 3.

Figure 3. Screenshots from Google Play
Figura 3. Capturas de pantalla de Google Play que parecen demostrar la funcionalidad; los registros se generan aleatoriamente a partir de datos codificados

Investigaciones adicionales revelaron la existencia de más aplicaciones relacionadas disponibles en Google Play: en total, 28 aplicaciones CallPhantom. Reportamos el conjunto completo de aplicaciones fraudulentas a Google el 16 de diciembre de 2025. Al momento de la publicación, todas las aplicaciones reportadas ya habían sido eliminadas de la tienda.

A pesar de las diferencias visuales, que pueden observarse en la Figura 4 y la Figura 5, el propósito de las aplicaciones es idéntico: generar datos de comunicaciones falsos y cobrar a las víctimas por el acceso. La tabla de la sección aplicaciones CallPhantom analizadas enumera cada aplicación junto con sus detalles clave, incluido el número de descargas.

Figure 4. Examples of CallPhantom apps found on the Play Store
Figura 4. Ejemplos de aplicaciones CallPhantom encontradas en Play Store
Figure 5. Examples of CallPhantom initial screens
Figura 5. Ejemplos de pantallas iniciales de CallPhantom

Resumen de la campaña

Las aplicaciones CallPhantom que identificamos en Google Play estaban dirigidas principalmente a usuarios de Android en India y en la región más amplia de Asia‑Pacífico. Muchas de estas apps incluían preseleccionado el código de país +91 de India y admitían UPI, un sistema de pagos utilizado principalmente en ese país.

Las aplicaciones acumulaban numerosas reseñas negativas, en las que las víctimas reportaban haber sido estafadas y no haber recibido nunca los datos prometidos, como puede observarse en la Figura 6.

 

Figure 6. Negative reviews for one of the fraudulent apps
Figura 6. Reseñas negativas de una de las aplicaciones fraudulentas

No está claro cómo se distribuyeron o promocionaron las aplicaciones. Presumiblemente, al aparentar ofrecer acceso a información privada, los estafadores lograron aprovechar la curiosidad de los usuarios. Combinado con algunas reseñas positivas (falsas), pudo haber parecido una oferta atractiva.

Visión general de CallPhantom

En nuestra investigación, identificamos dos clústeres principales de estas aplicaciones fraudulentas.

Las aplicaciones del primer clúster contienen nombres, códigos de país y plantillas codificados directamente en su código, como se muestra en la Figura 7. Estos se combinan con números de teléfono generados aleatoriamente y se presentan al usuario como “resultados” parciales. Para visualizar el historial completo (falso), la víctima debe realizar un pago.

 

Figure 7. Code responsible for generating messages
Figura 7. Código responsable de generar los mensajes

Las aplicaciones del segundo clúster solicitan a los usuarios que ingresen una dirección de correo electrónico a la que supuestamente se enviaría el historial de llamadas “recuperado”, como se observa en las capturas de pantalla de la Figura 8. No se genera ningún dato hasta después del pago; los usuarios deben pagar o suscribirse antes de que, supuestamente, se envíe cualquier correo electrónico.

Figure 8. CallPhantom requests the user’s email address
Figura 8. CallPhantom solicita la dirección de correo electrónico del usuario donde supuestamente se entregarían los registros de llamadas

En general, las aplicaciones CallPhantom tienen una interfaz de usuario simple y no solicitan permisos intrusivos ni sensibles; no los necesitan. De manera coherente con ello, tampoco incorporan ninguna funcionalidad capaz de recuperar datos reales de llamadas, SMS o WhatsApp.

En las aplicaciones de CallPhantom que analizamos observamos tres métodos de pago diferentes, de los cuales dos infringen la política de pagos de Google Play.

En primer lugar, algunas aplicaciones utilizaban suscripciones a través del sistema oficial de facturación de Google Play. Este es el mecanismo exigido para las apps que ofrecen compras dentro de la aplicación, de acuerdo con la política de pagos de Google Play; dichas compras están cubiertas por la protección de reembolso de Google.

En segundo lugar, algunas aplicaciones recurrían a pagos mediante aplicaciones de terceros compatibles con UPI. En estos casos, las apps CallPhantom incluían URLs codificadas directamente o las obtenían dinámicamente desde una base de datos en tiempo real de Firebase, lo que permitía al operador cambiar la cuenta receptora de los pagos en cualquier momento.

En tercer lugar, en algunos casos se incluían directamente formularios de pago con tarjeta dentro de las propias aplicaciones CallPhantom.

En la Figura 9 se muestran ejemplos de los métodos de pago.

Figure 9. Various payment options used by CallPhantom apps
Figura 9. Distintas opciones de pago utilizadas por las aplicaciones CallPhantom

En un caso, observamos una táctica adicional utilizada para inducir al usuario a realizar el pago: si el usuario salía de la aplicación sin pagar, la app mostraba alertas engañosas diseñadas para parecer correos electrónicos nuevos, en las que se afirmaba que los resultados del historial de llamadas ya habían llegado, como se muestra en la Figura 10. Al hacer clic en la notificación, se accedía directamente a una pantalla de suscripción.

Figure 10. Deceptive notification displayed by CallPhantom to persuade users to subscribe
Figura 10. Notificación engañosa mostrada por CallPhantom para persuadir a los usuarios a suscribirse

Las tarifas solicitadas por el servicio falso varían ampliamente entre las distintas aplicaciones. Asimismo, las apps parecen ofrecer diferentes planes de suscripción —por ejemplo, semanal, mensual o anual—, con el precio más alto alcanzando los 80 dólares. En el nivel de suscripción más bajo, el precio promedio solicitado fue de 5 euros.

Qué hacer si fuiste víctima

En general, las suscripciones adquiridas a través del sistema oficial de facturación de Google Play pueden cancelarse desde la app de Play Store tocando el ícono de perfil, accediendo a Pagos y suscripciones → Suscripciones, seleccionando la suscripción activa y tocando Cancelar suscripción. Google explica el proceso completo en su página Cancelar, pausar o cambiar una suscripción en Google Play.

En el caso de las 28 aplicaciones descritas en esta publicación, las suscripciones existentes fueron canceladas cuando las apps fueron eliminadas de Google Play.

En algunos casos, es posible solicitar reembolsos por compras realizadas en Google Play. Google puede emitir un reembolso en función del tiempo transcurrido desde la compra, el tipo de elemento y su política de reembolsos. Por lo general, las solicitudes deben realizarse dentro del plazo permitido, tal como se detalla en la página de soporte de Google.

Si la compra se realizó fuera de Google Play —por ejemplo, ingresando los datos de una tarjeta de pago directamente dentro de la aplicación o mediante servicios de terceros—, Google no puede cancelar la suscripción ni emitir un reembolso, y los usuarios deben contactar directamente al proveedor de pagos o al desarrollador de la aplicación.

Conclusión

Identificamos un nuevo grupo de aplicaciones Android fraudulentas en Google Play que, en conjunto, acumularon más de 7,3 millones de descargas antes de ser retiradas tras la notificación por parte de ESET. Estas aplicaciones, a las que denominamos colectivamente CallPhantom, prometen recuperar registros de llamadas, historiales de SMS y logs de llamadas de WhatsApp de cualquier número de teléfono, una afirmación técnicamente imposible diseñada exclusivamente para explotar la curiosidad de las personas y engañarlas para que realicen pagos.

Muchas de estas aplicaciones eludían el sistema oficial de facturación de Google Play, redirigiendo a los usuarios hacia pagos a través de terceros o al ingreso directo de datos de tarjetas, lo que complica los intentos de reembolso y expone a las víctimas a riesgos financieros.

Nuestro análisis reveló que los “resultados” mostrados a las víctimas son completamente fabricados, y que a menudo utilizan números indios codificados directamente, nombres predefinidos y marcas de tiempo generadas, presentadas como si fueran datos reales de comunicaciones.

Los usuarios que se suscribieron a través del sistema oficial de facturación de Google Play pueden ser elegibles para reembolsos conforme a las políticas de reembolso de Google. Las compras realizadas mediante aplicaciones de pago de terceros o a través del ingreso directo de datos de tarjetas no pueden ser reembolsadas por Google, lo que deja a los usuarios dependientes de proveedores de pago externos o de los desarrolladores de las aplicaciones.

Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, póngase en contacto con nosotros en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

Aplicaciones CallPhantom analizadas

App name Package name Number of downloads
Call history : any number deta calldetaila.ndcallhisto.rytogetan.ynumber 3M+
Call History of Any Number com.pixelxinnovation.manager 1M+
Call Details of Any Number com.app.call.detail.history 1M+
Call History Any Number Detail sc.call.ofany.mobiledetail 500K+
Call History Any Number Detail com.cddhaduk.callerid.block.contact 500K+
Call History Of Any Number com.basehistory.historydownloading 500K+
Call History of Any Numbers com.call.of.any.number 100K+
Call History Of Any Number com.rajni.callhistory 100K+
Call History Any Number Detail com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager 100K+
Call History Any Number Detail com.callinformative.instantcallhistory.callhistorybluethem.callinfo 100K+
Call History Any Number detail com.call.detail.caller.history 100K+
Call History Any Number Detail com.anycallinformation.datadetailswho.callinfo.numberfinder 100K+
Call History Any Number Detail com.callhistory.callhistoryyourgf 100K+
Call History Any Number com.calldetails.smshistory.callhistoryofanynumber 50K+
Call History Any Number Detail com.callhistory.anynumber.chapfvor.history 50K+
Call History of Any Number com.callhistory.callhistoryany.call 50K+
Call History Any Number Detail com.name.factor 50K+
Call History Of Any Number com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber 50K+
Call History Of Any Number com.chdev.callhistory 10K+
Phone Call History Tracker com.phone.call.history.tracker 10K+
Call History- Any Number Deta com.pdf.maker.pdfreader.pdfscanner 10K+
Call History Of Any Number com.any.numbers.calls.history 10K+
Call History Any Number Detail com.callapp.historyero 1K+
Call History - Any Number Data all.callhistory.detail 500+
Call History For Any Number com.easyranktools.callhistoryforanynumber 100+
Call History of Numbers com.sbpinfotech.findlocationofanynumber 100+
Call History of Any Number callhistoryeditor.callhistory.numberdetails.calleridlocator 50+
Call History Pro com.all_historydownload.anynumber.callhistorybackup 50+

IoCs

Puede encontrar una lista completa de indicadores de compromiso (IoC) y muestras en nuestro repositorio de GitHub.

Archivos

SHA-1 Filename Detection Description
799BB5127CA54239D3D4A14367DB3B712012CF14 all.callhistory.detail.apk Android/CallPhantom.K Android CallPhantom.
56A4FD71D1E4BBA2C5C240BE0D794DCFF709D9EB calldetaila.ndcallhisto.rytogetan.ynumber.apk Android/CallPhantom.M Android CallPhantom.
EC5E470753E76614CD28ECF6A3591F08770B7215 callhistoryeditor.callhistory.numberdetails.calleridlocator.apk Android/CallPhantom.F Android CallPhantom.
77C8B7BEC79E7D9AE0D0C02DEC4E9AC510429AD8 com.all_historydownload.anynumber.callhistorybackup.apk Android/CallPhantom.G Android CallPhantom.
9484EFD4C19969F57AFB0C21E6E1A4249C209305 com.any.numbers.calls.history.apk Android/CallPhantom.L Android CallPhantom.
CE97CA7FEECDCAFC6B8E9BD83A370DFA5C336C0A com.anycallinformation.datadetailswho.callinfo.numberfinder.xapk Android/CallPhantom.B Android CallPhantom.
FC3BA2EDAC0BB9801F8535E36F0BCC49ADA5FA5A com.app.call.detail.history.apk Android/CallPhantom.N Android CallPhantom.
B7B80FA34A41E3259E377C0D843643FF736803B8 com.basehistory.historydownloading.xapk Android/CallPhantom.O Android CallPhantom.
F0A8EBD7C4179636BE752ECCFC6BD9E4CD5C7F2C com.call.detail.caller.history.xapk Android/CallPhantom.C Android CallPhantom.
D021E7A0CF45EECC7EE8F57149138725DC77DC9A com.call.of.any.number.apk Android/CallPhantom.Q Android CallPhantom.
04D2221967FFC4312AFDC9B06A0B923BF3579E93 com.callapp.historyero.apk Android/CallPhantom.E Android CallPhantom.
CB31ED027FADBFA3BFFDBC8A84EE1A48A0B7C11D com.calldetails.smshistory.callhistoryofanynumber.apk Android/CallPhantom.Q Android CallPhantom.
C840A85B5FBAF1ED3E0F18A10A6520B337A94D4C com.callhistory.anynumber.chapfvor.history.xapk Android/CallPhantom.J Android CallPhantom.
BB6260CA856C37885BF9E952CA3D7E95398DDABF com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager.apk Android/CallPhantom.S Android CallPhantom.
55D46813047E98879901FD2416A23ACF8D8828F5 com.callhistory.callhistoryany.call.apk Android/CallPhantom.T Android CallPhantom.
E23D3905443CDBF4F1B9CA84A6FF250B6D89E093 com.callhistory.callhistoryyourgf.apk Android/CallPhantom.D Android CallPhantom.
89ECEC01CCB15FCDD2F64E07D0E876A9E79DD3CE com.callinformative.instantcallhistory.callhistorybluethem.callinfo.xapk Android/CallPhantom.B Android CallPhantom.
8EC557302145B40FE0898105752FFF5E357D7AC9 com.cddhaduk.callerid.block.contact.xapk Android/CallPhantom.U Android CallPhantom.
6F72FF58A67EF7AAA79CE2342012326C7B46429D com.easyranktools.callhistoryforanynumber.apk Android/CallPhantom.H Android CallPhantom.
28D3F36BD43D48F02C5058EDD1509E4488112154 com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber.xapk Android/CallPhantom.D Android CallPhantom.
47CEE9DED41B953A84FC9F6ED556EC3AF5BD9345 com.chdev.callhistory.xapk Android/CallPhantom.V Android CallPhantom.
9199A376B433F888AFE962C9BBD991622E8D39F9 com.name.factor.apk Android/CallPhantom.P Android CallPhantom.
053A6A723FA2BFDA8A1B113E8A98DD04C6EEF72A com.pdf.maker.pdfreader.pdfscanner.apk Android/CallPhantom.W Android CallPhantom.
4B537A7152179BBA19D63C9EF287F1AC366AB5CB com.phone.call.history.tracker.apk Android/CallPhantom.I Android CallPhantom.
87F6B2DB155192692BAD1F26F6AEBB04DBF23AAD com.pixelxinnovation.manager.apk Android/CallPhantom.X Android CallPhantom.
583D0E7113795C7D68686D37CE7A41535CF56960 com.rajni.callhistory.apk Android/CallPhantom.Y Android CallPhantom.
45D04E06D8B329A01E680539D798DD3AE68904DA com.sbpinfotech.findlocationofanynumber.xapk Android/CallPhantom.A Android CallPhantom.
34393950A950F5651F3F7811B815B5A21F84A84B sc.call.ofany.mobiledetail.apk Android/CallPhantom.Z Android CallPhantom.

Red

IP Domain Hosting provider First seen Details
34.120.160[.]131

call-history-7cda4-default-rtdb.firebaseio[.]com

call-history-ecc1e-default-rtdb.firebaseio[.]com

 Google LLC 2025‑05‑14 CallPhantom C&C server.
34.120.206[.]254

ch-ap-4-default-rtdb.firebaseio[.]com

chh1-ac0a3-default-rtdb.firebaseio[.]com

 

 Google LLC 2025‑04‑17 CallPhantom C&C server.

Técnicas ATT&CK de MITRE

Esta tabla se ha elaborado utilizando la versión 18 del marco MITRE ATT&CK.

Tactic ID Name Description
Command and Control T1437.001 Application Layer Protocol: Web Protocols CallPhantom uses Firebase Cloud Messaging for C&C communication.
Impact T1643 Generate Traffic from Victim CallPhantom tries to achieve fraudulent billing.