Фальшивые приложения для слежки набрали миллионы загрузок. Это многое говорит о безопасности Google и о нас.

      Нет приложения, которое позволило бы вам получить доступ к истории звонков другого человека. Никогда не было, и, скорее всего, никогда не будет — операторы не раскрывают эти данные, и ни один сторонний разработчик не имеет доступа, необходимого для их получения. Это не серый вопрос; это просто невозможно. И все же, согласно welivesecurity, 7,3 миллиона человек скачали приложения, которые утверждали, что могут сделать именно это.

      Исследователи безопасности из ESET потратили месяцы на распутывание обширной семьи из 28 мошеннических приложений для Android, которые они collectively назвали CallPhantom — приложения, которые обещали пользователям доступ к телефонной активности любого человека: журналы звонков, записи SMS, даже историю WhatsApp. Введите номер, заплатите небольшую сумму, и секреты того, кого вы искали, якобы выльются наружу. На самом деле, то, что выходило, было вымыслом — случайные номера телефонов, одетые в жестко закодированные имена и временные метки, сгенерированные самим приложением, созданные так, чтобы выглядеть достаточно убедительно, чтобы казаться реальными. Платеж был тем, что пользователи видели эти поддельные данные только после того, как они уже заплатили. Эта последовательность не была случайной.

      У Google Play Store здесь была серьезная слепая зона

      Все 28 приложений находились в Google Play Store достаточно долго, чтобы накопить миллионы загрузок. Одно из них было опубликовано под именем «Indian gov.in», разработчик, подразумевающий правительственную легитимность, на которую он не имел права претендовать. У нескольких были разделы отзывов, полные пользователей, явно написавших, что их обманули, и эти предупреждения сосуществовали с кластерами подозрительно восторженных пятизвездочных отзывов, которые поддерживали рейтинги на приличном уровне.

      WeLiveSecurity

      ESET уведомила Google о полном наборе в декабре 2025 года, и приложения были удалены. Но удаление произошло по внешнему отчету, а не потому, что Google что-то поймала самостоятельно. Для платформы, которая сильно инвестировала в автоматическое обнаружение угроз и в рамках App Defense Alliance, позволить 28 вариантам одного и того же мошенничества — все обещающие одну и ту же технически невозможную функцию — накопить миллионы загрузок, является значительным пробелом.

      Некоторые приложения усугубили ситуацию, полностью обойдя платежную инфраструктуру Google, перенаправляя пользователей на сторонние транзакции UPI или на поля ввода карт, встроенные в приложение. Это нарушение политики Play Store, но это также означает, что Google не может вернуть деньги этим пользователям. Любой, кто заплатил вне официальной системы выставления счетов, должен сам искать провайдера платежей или разработчиков, которые, само собой разумеется, не особенно мотивированы помогать.

      Приложения работали, потому что предложение было неотразимым

      Более неприятная часть этой истории заключается в том, что привело к 7,3 миллиона загрузок в первую очередь. Эти приложения не предлагали облачное хранилище или новый способ редактирования фотографий. Они предлагали то, что людям действительно хотелось достаточно, чтобы заплатить за это: возможность шпионить за кем-то — партнером, бывшим, подростком или деловым контактом. Какова бы ни была причина, было очевидно, что существует большая и готовая аудитория для этой идеи.

      Приложения использовали это желание с безжалостной точностью. Они по умолчанию предустанавливали код страны Индии +91 и поддерживали платежи UPI, что сигнализировало о том, что мошенники хорошо понимали свою целевую аудиторию. Уровни подписки варьировались от нескольких евро в неделю до 80 долларов в год, предлагая пользователям варианты, которые казались легитимной услугой и удовлетворяли различные потребности. Одно приложение, когда пользователь пытался выйти, не заплатив, отправляло поддельное push-уведомление, стилизованное так, чтобы выглядеть как только что пришло электронное письмо с результатами — последний толчок, который вел прямо к платному контенту.

      WeLiveSecurity

      Это сработало, потому что любопытство — мощная вещь, и приложения были разработаны людьми, которые это понимали. Уберите техническую основу, и вы получите очень старую схему: взимайте плату с кого-то за то, что они отчаянно хотят, дайте им правдоподобно выглядящее ничто и рассчитывайте на смущение, чтобы они не жаловались слишком громко.

      Для всех, кто попал в это, подписки, обработанные через официальную систему Google Play, могут быть отменены — и потенциально возвращены — через настройки платежей Play Store. Все остальное — это более сложный разговор с теми, кто обработал платеж.