Recientemente, la agencia de ciberseguridad Welivesecurity informó que una red de aplicaciones fraudulentas fue expulsada de la tienda oficial de Google tras descubrirse que engañaron a más de 7,3 millones de personas.
Estas herramientas, que se presentaban como soluciones mágicas para acceder a la privacidad de terceros, resultaron ser una trampa diseñada únicamente para obtener dinero de usuarios curiosos.
El gancho: Una promesa técnicamente imposible
El principal atractivo de estas 28 aplicaciones era ofrecer el historial de llamadas, mensajes de texto (SMS) e incluso registros de WhatsApp de cualquier número de teléfono que el usuario eligiera. Sin embargo, los expertos señalan que esta funcionalidad es inexistente y técnicamente imposible de realizar de la manera en que se promocionaba.
Las aplicaciones aprovechaban la intriga de las personas para que descargaran servicios con nombres genéricos basados en “Call History” como “Call History of Any Number” (Historial de llamadas de cualquier número).
¿Cómo funcionaba el engaño detrás de pantalla?
Para que el usuario creyera que la aplicación realmente estaba trabajando, el sistema mostraba listas de contactos y horarios que parecían reales. No obstante, se trataba de una puesta en escena: los nombres y números que aparecían eran datos predefinidos o generados al azar que ya venían escondidos dentro de la programación de la misma app.
En términos sencillos, “inventaba” los resultados para convencer al usuario de que el servicio funcionaba y así motivarlo a realizar un pago para ver el informe completo. Incluso, si alguien intentaba salir de la aplicación sin pagar, esta enviaba notificaciones falsas que simulaban la llegada de un correo electrónico avisando que los resultados ya estaban listos.
El riesgo de los pagos fuera de la tienda oficial
La estafa, identificada bajo el nombre de “CallPhantom”, no solo mentía sobre sus funciones, sino que también utilizaba métodos de cobro riesgosos. Si bien algunas usaban el sistema de facturación oficial de Google, otras obligaban a los usuarios a pagar mediante:
- Sistemas externos (como UPI): Un método de pago muy común en India que permite transferencias directas, pero que dificulta que Google pueda intervenir en caso de reclamos.
- Formularios directos: Algunas apps pedían los datos de la tarjeta de crédito directamente dentro de su propia interfaz, lo que exponía la información financiera de las víctimas.
Los precios por estas suscripciones falsas variaban drásticamente, llegando a cobrar hasta 80 dólares en algunos casos.
Tras ser alertado por investigadores de seguridad, Google eliminó la totalidad de las aplicaciones involucradas. Al ser borradas de la tienda, las suscripciones activas que se hicieron a través del sistema oficial fueron canceladas automáticamente.