Die als „CallPhantom“ getaufte Kampagne brachte es auf über 7,3 Millionen Downloads – und das mit einer erstaunlich einfachen Masche.
Die Apps versprachen genau das, was viele neugierig macht: Zugriff auf Anrufprotokolle und Nachrichtenverläufe fremder Personen. Ein unmögliches Versprechen, wie die Experten von ESET nun enthüllen. Statt echter Daten lieferten die Anwendungen nur geschickt inszenierte Täuschung.
Der aktuelle Betrugsfall zeigt, wie leichtfertig viele Nutzer ihre Sicherheit aufs Spiel setzen, um vermeintliche Funktionen freizuschalten. Schützen Sie Ihr Android-Gerät stattdessen effektiv vor echten Gefahren mit diesen 5 einfachen Schritt-für-Schritt-Maßnahmen. Kostenloses Sicherheitspaket für Ihr Android-Smartphone jetzt sichern
Wie die Täuschung funktionierte
Die 28 betrügerischen Apps umgingen die Sicherheitsmechanismen des Stores auf raffinierte Weise: Sie enthielten keinen klassischen Schadcode. Stattdessen setzten sie auf psychologische Manipulation und Social Engineering.
Gab ein Nutzer eine Telefonnummer zur „Suche“ ein, simulierte die App eine Verarbeitung. Was dann auf dem Bildschirm erschien, war jedoch vollständig erfunden. Die Entwickler hatten feste Namenslisten, Gesprächsdauern und Zeitstempel direkt in den Code eingebaut – kombiniert mit zufällig generierten Nummern entstand der Eindruck eines echten Protokolls.
Eine einzige App aus dem Cluster wurde mehr als drei Millionen Mal heruntergeladen, bevor Google sie entfernte.
Gezielte Ausrichtung auf Indien
Die Betreiber hatten ihre Kampagne strategisch auf den asiatisch-pazifischen Raum zugeschnitten. Rund 53,7 Prozent aller erkannten Infektionen entfielen auf Indien. Die Apps wählten automatisch die indische Landesvorwahl +91 vor und unterstützten das dort allgegenwärtige UPI-Bezahlsystem.
Die finanzielle Ausbeutung erfolgte über mehrere Kanäle:
- Offizielle Abos über Google Play (wöchentlich bis jährlich)
- Preise zwischen umgerechnet 6 und 80 Euro
- Drittanbieter-Zahlungswege und direkte Kreditkartenformulare
Die nicht standardisierten Zahlungsmethoden erschwerten Rückerstattungen erheblich.
Falsche Legitimität und psychologische Tricks
Besonders dreist: Eine App gab sich als offizielles Regierungsprogramm aus – der Entwicklername lautete schlicht „Indian gov.in“. Ziel war es, das Misstrauen der Nutzer zu umgehen.
Die Apps setzten zudem auf aggressive Benachrichtigungssysteme. Versuchte ein Nutzer die App ohne Kauf zu verlassen, erschien eine gefälschte Systemmail, die vorgab, der Bericht sei fertig. Ein Klick darauf führte direkt zurück zur Zahlungsseite.
Das „Pay-to-View“-Modell zeigte vor der Bezahlung teils unscharfe oder geschwärzte Ergebnisse – genug, um die Neugier zu wecken, aber nicht genug, um zufrieden zu stellen. Negative Bewertungen wurden offenbar von gefälschten positiven Rezensionen überlagert.
Während Betrüger immer raffinierter vorgehen, bleiben grundlegende Sicherheitsvorkehrungen oft auf der Strecke. Erfahren Sie in diesem Gratis-Ratgeber, wie Sie durch die richtigen Android-Updates kritische Sicherheitslücken schließen und Malware dauerhaft verhindern. 5 einfache Schritte für ein sofort sichereres Smartphone entdecken
Der Wandel zur Verhaltensmanipulation
Die CallPhantom-Kampagne markiert einen Trendwechsel in der mobilen Bedrohungslandschaft. Statt technischer Exploits setzen Betrüger zunehmend auf Verhaltensmanipulation.
Weil die Apps keine sensiblen Berechtigungen benötigten – kein Zugriff auf Mikrofon, Kamera oder Kontakte – blieben sie für Sicherheitssoftware unsichtbar. Ironischerweise war genau diese Harmlosigkeit ihre stärkste Waffe.
ESET meldete die Funde im Dezember 2025 an Google, woraufhin die 28 Apps entfernt wurden. Doch die schiere Reichweite zeigt: Es besteht Nachholbedarf bei der Prüfung von Apps, die unmögliche Versprechungen machen.
Lehren für die Zukunft
Experten fordern strengere Prüfungen für „Recherche“- und „Lookup“-Apps. Google hat bereits aktive Abos der entfernten Apps gekündigt – wer über Drittanbieter zahlte, hat jedoch kaum Chancen auf Rückerstattung.
Die Kernbotschaft für Nutzer bleibt simpel: Keine seriöse App kann fremde Kommunikationsdaten auf Abruf liefern – egal, was der Preis oder der Entwicklername verspricht.
