Le app di stalking false hanno raggiunto milioni di download. Dice molto sulla sicurezza di Google e su di noi.

Le app di stalking false hanno raggiunto milioni di download. Dice molto sulla sicurezza di Google e su di noi.

      Non esiste un'app che ti permetta di visualizzare la cronologia delle chiamate di qualcun altro. Non è mai esistita e quasi certamente non esisterà mai — i gestori non espongono quei dati e nessun sviluppatore di terze parti ha l'accesso necessario per recuperarli. Non si tratta di un'area grigia; semplicemente non è possibile. Eppure, 7,3 milioni di persone, secondo welivesecurity, hanno scaricato app che affermavano di fare esattamente questo.

      I ricercatori di sicurezza di ESET hanno trascorso mesi a districare una vasta famiglia di 28 app Android fraudolente che hanno collettivamente soprannominato CallPhantom — app che promettevano agli utenti una finestra sull'attività telefonica di chiunque: registri delle chiamate, registrazioni SMS, persino cronologia di WhatsApp. Inserisci un numero, paga una piccola tassa e i segreti di chi stavi cercando sarebbero presumibilmente emersi. Ciò che è effettivamente emerso era finzione — numeri di telefono casuali travestiti con nomi e timestamp hardcoded, generati dall'app stessa, progettati per sembrare abbastanza convincenti da sembrare reali. Il risultato è che gli utenti vedevano questi dati falsi solo dopo aver già pagato. Questa sequenza non era accidentale.

      Google Play Store aveva un grave punto cieco qui

      Tutte e 28 le app sono rimaste sul Google Play Store abbastanza a lungo da accumulare milioni di download. Una di esse è stata pubblicata con il nome “Indian gov.in,” un nome di sviluppatore che implicava una legittimità governativa che non aveva il diritto di rivendicare. Diverse avevano sezioni di recensioni piene di utenti che scrivevano esplicitamente di essere stati truffati, e quegli avvertimenti coesistevano con gruppi di recensioni entusiastiche a cinque stelle che mantenevano le valutazioni rispettabili.

      WeLiveSecurity

      ESET ha segnalato l'intero set a Google nel dicembre 2025 e le app sono state rimosse. Ma la rimozione è avvenuta a seguito di un rapporto esterno, non perché Google avesse scoperto qualcosa da solo. Per una piattaforma che ha investito molto nella rilevazione automatizzata delle minacce e nel framework dell'App Defense Alliance, lasciare che 28 varianti della stessa truffa — tutte promettendo la stessa funzionalità tecnicamente impossibile — accumulassero milioni di download è una lacuna significativa.

      Alcune app hanno peggiorato le cose bypassando completamente l'infrastruttura di pagamento di Google, reindirizzando gli utenti a transazioni UPI di terze parti o a campi di inserimento diretto della carta incorporati nell'app. Questa è una violazione della politica del Play Store, ma significa anche che Google non può emettere rimborsi a quegli utenti. Chiunque abbia pagato al di fuori del sistema di fatturazione ufficiale deve inseguire il fornitore di pagamento da solo, o gli sviluppatori, che, è superfluo dirlo, non sono particolarmente motivati ad aiutare.

      Le app hanno funzionato perché l'offerta era irresistibile

      La parte più scomoda di questa storia è ciò che ha guidato 7,3 milioni di download in primo luogo. Queste app non offrivano spazio di archiviazione cloud o un nuovo modo di modificare foto. Offrivano qualcosa che le persone desideravano così tanto da pagare: la possibilità di spiare qualcuno — un partner, un ex, un adolescente o un contatto commerciale. Qualunque fosse il motivo, c'era chiaramente un vasto pubblico disposto per l'idea.

      Le app si sono immerse in quel desiderio con una precisione spietata. Hanno preselezionato il prefisso nazionale +91 dell'India per impostazione predefinita e supportato i pagamenti UPI, il che segnala che i truffatori comprendevano bene il loro pubblico di riferimento. I livelli di abbonamento variavano da pochi euro a settimana a 80 dollari all'anno, offrendo agli utenti opzioni che sembravano un servizio legittimo e soddisfacevano diverse esigenze. Un'app, quando un utente cercava di uscire senza pagare, inviava una falsa notifica push stilizzata per sembrare che un'email fosse appena arrivata con i risultati — un ultimo tentativo che portava direttamente al paywall.

      WeLiveSecurity

      Ha funzionato perché la curiosità è una cosa potente, e le app erano progettate da persone che lo capivano. Rimuovendo la struttura tecnica, ciò che si ha è una truffa molto antica: far pagare qualcuno per qualcosa che desidera disperatamente, dargli un nulla che sembra plausibile e contare sull'imbarazzo per tenerli lontani dal lamentarsi troppo forte.

      Per chiunque sia coinvolto in questo, gli abbonamenti elaborati attraverso il sistema ufficiale di Google Play possono essere annullati — e potenzialmente rimborsati — attraverso le impostazioni di pagamento del Play Store. Tutto il resto è una conversazione più difficile con chi ha elaborato il pagamento.

Le app di stalking false hanno raggiunto milioni di download. Dice molto sulla sicurezza di Google e su di noi. Le app di stalking false hanno raggiunto milioni di download. Dice molto sulla sicurezza di Google e su di noi.

Altri articoli

La fuga di notizie sull'intelligenza Gemini di Google mi entusiasma, ma per favore non usate quel nome. La fuga di notizie sull'intelligenza Gemini di Google mi entusiasma, ma per favore non usate quel nome. Google potrebbe essere in procinto di preparare uno strato AI più profondo alimentato da Gemini che si connette più strettamente con le tue app, foto, email e compiti quotidiani del telefono. La tecnologia per animali domestici è ridicola, e odio quanto la desidero. La tecnologia per animali domestici è ridicola, e odio quanto la desidero. La tecnologia per animali domestici sembra un'ansia con il Wi-Fi, ma i distributori automatici intelligenti, i tracker, le telecamere e gli avvisi sulla salute diventano più difficili da deridere quando i gatti iniziano a comportarsi in modo strano. Samsung ha dato agli utenti Galaxy S25 One UI 8.5, ma ha saltato le funzionalità che desideravano di più. Samsung ha dato agli utenti Galaxy S25 One UI 8.5, ma ha saltato le funzionalità che desideravano di più. One UI 8.5 sta arrivando per la serie Galaxy S25 con nuovi strumenti, ma il Now Nudge mancante e la modalità fotocamera da 24MP sono di cui gli utenti stanno parlando. I dipendenti di Meta stanno avendo difficoltà a digerire l'IA. Chi l'avrebbe mai detto? I dipendenti di Meta stanno avendo difficoltà a digerire l'IA. Chi l'avrebbe mai detto? Meta sta monitorando i tasti premuti dai dipendenti, collegando l'uso dell'IA alle valutazioni delle prestazioni e licenziando migliaia di persone — tutto in una volta — e in qualche modo sembra sorpresa che il morale sia in caduta libera. Samsung ha dato agli utenti di Galaxy S25 One UI 8.5, ma ha saltato le funzionalità che desideravano di più. Samsung ha dato agli utenti di Galaxy S25 One UI 8.5, ma ha saltato le funzionalità che desideravano di più. One UI 8.5 sta arrivando sulla serie Galaxy S25 con nuovi strumenti, ma il mancato Now Nudge e la modalità fotocamera da 24MP sono di cui gli utenti stanno parlando. La fuga di notizie sull'intelligenza Gemini di Google mi entusiasma, ma per favore non usate quel nome. La fuga di notizie sull'intelligenza Gemini di Google mi entusiasma, ma per favore non usate quel nome. Google potrebbe stare preparando uno strato AI più profondo alimentato da Gemini che si collega più strettamente con le tue app, foto, email e compiti quotidiani del telefono.

Le app di stalking false hanno raggiunto milioni di download. Dice molto sulla sicurezza di Google e su di noi.

28 app Android false che promettevano di spiare la cronologia delle chiamate di chiunque hanno totalizzato 7,3 milioni di download su Google Play — e la parte più spaventosa non è che le app fossero fraudolente, ma che così tante persone volevano che funzionassero.