La promessa di poter leggere chiamate, SMS e WhatsApp di qualsiasi numero ha spinto milioni di persone a scaricare app truffa.
Per anni il Google Play Store è stato percepito come un ambiente relativamente sicuro, soprattutto rispetto agli store alternativi Android. Eppure, anche questa volta, decine di applicazioni sono riuscite a superare i controlli e a raggiungere numeri enormi prima della rimozione. Il caso si chiama CallPhantom ed è stato scoperto dai ricercatori di ESET, che hanno identificato una rete composta da 28 app fraudolente scaricate oltre 7,3 milioni di volte.
Il meccanismo era semplice ma tremendamente efficace. Le applicazioni promettevano qualcosa che già di per sé avrebbe dovuto far scattare più di un campanello d’allarme: accedere ai registri delle chiamate, agli SMS e persino ai log WhatsApp di qualsiasi numero telefonico. Bastava inserire il contatto desiderato e pagare un abbonamento. A quel punto però gli utenti ricevevano soltanto informazioni generate casualmente dal sistema.
Dietro la crescita rapidissima di queste app c’è un elemento molto umano: la curiosità. Molti utenti sono stati attratti dall’idea di poter controllare partner, familiari o contatti sospetti. Proprio questa leva psicologica avrebbe permesso alla rete CallPhantom di diffondersi così velocemente, soprattutto in India e nella regione Asia-Pacifico.
Secondo gli esperti di sicurezza, le applicazioni non avevano alcuna possibilità tecnica di mantenere le promesse fatte agli utenti. Android non consente infatti a un’app normale di accedere liberamente ai registri telefonici di altre persone. Eppure la grafica credibile, le recensioni apparentemente positive e l’interfaccia costruita ad arte hanno convinto milioni di utenti a pagare.
La parte più sorprendente della vicenda riguarda proprio il funzionamento interno delle app. I dati mostrati non provenivano da alcun database segreto: erano completamente inventati. Numeri casuali, orari fittizi e chiamate simulate erano stati inseriti direttamente nel codice delle applicazioni.
Google è intervenuta, ma il problema resta
Dopo la segnalazione di ESET, Google ha rimosso tutte le app coinvolte dal Play Store. Gli utenti che avevano effettuato pagamenti tramite il sistema ufficiale di Google Play dovrebbero ricevere il rimborso automatico degli abbonamenti. Più complicata invece la situazione per chi ha utilizzato sistemi di pagamento esterni o carte collegate a servizi terzi.
Il caso CallPhantom riporta al centro una questione che negli ultimi anni è diventata sempre più delicata: anche gli store ufficiali possono ospitare applicazioni truffaldine per settimane o mesi prima che vengano eliminate.
Non è la prima volta che succede. Negli anni i ricercatori di cybersicurezza hanno più volte evidenziato come alcuni sviluppatori riescano a manipolare recensioni, download e posizionamento sul Play Store per aumentare artificialmente la credibilità delle proprie app.
I segnali che dovevano insospettire gli utenti(www.webnews.it)
In questa storia ci sono dettagli che oggi, col senno di poi, appaiono evidenti. Le app promettevano funzioni praticamente impossibili da ottenere senza violare pesantemente la sicurezza di Android. Alcune utilizzavano sistemi di pagamento esterni non autorizzati, mentre altre facevano leva su descrizioni volutamente ambigue per sembrare strumenti “professionali” o addirittura legati ad enti ufficiali.
C’è poi un altro elemento interessante: molte delle applicazioni non chiedevano nemmeno autorizzazioni particolarmente invasive. Un dettaglio che potrebbe sembrare rassicurante ma che in realtà confermava la truffa. Non avevano bisogno di accedere ai dati reali perché non stavano recuperando nulla di autentico.
Questa vicenda dimostra ancora una volta quanto sia facile cadere in trappole costruite attorno alla curiosità e alla paura. E soprattutto quanto basti poco, oggi, per trasformare una semplice ricerca sul Play Store in un problema economico o di sicurezza digitale.
Molti utenti tendono ancora a pensare che “se un’app è sul Play Store allora è sicura”. Il caso CallPhantom racconta esattamente il contrario.
