Não existe nenhum aplicativo que permita acessar o histórico de chamadas de outra pessoa. Nunca houve, e quase certamente nunca haverá – as operadoras não expõem esses dados e nenhum desenvolvedor terceirizado tem o acesso necessário para recuperá-los. Esta não é uma área cinzenta; simplesmente não é possível. E ainda assim, 7,3 milhões de pessoas, de acordo com welivesecurity baixei aplicativos que afirmavam fazer exatamente isso.
Os pesquisadores de segurança da ESET passaram meses desvendando uma extensa família de 28 aplicativos Android fraudulentos que eles apelidaram coletivamente de CallPhantom – aplicativos que prometiam aos usuários uma janela para a atividade telefônica de qualquer pessoa: registros de chamadas, registros de SMS e até mesmo o histórico do WhatsApp. Digite um número, pague uma pequena taxa e os segredos de quem você estava procurando seriam supostamente revelados. O que realmente saiu foi ficção – números de telefone aleatórios enfeitados com nomes e carimbos de knowledge/hora codificados, gerados pelo próprio aplicativo, projetados para parecerem convincentes o suficiente para parecerem reais. A recompensa é que os usuários só viram esses dados falsos depois de já terem pago. Essa sequência não foi acidental.
A Google Play Retailer teve um sério ponto cego aqui
Todos os 28 aplicativos ficaram na Google Play Retailer por tempo suficiente para acumular milhões de downloads. Um deles foi publicado sob o nome “Indian gov.in”, um identificador de desenvolvedor que implicava legitimidade governamental que não tinha o direito de reivindicar. Vários tinham seções de avaliações cheias de usuários escrevendo explicitamente que haviam sido enganados, e esses avisos coexistiam com grupos de avaliações cinco estrelas suspeitamente entusiasmadas que mantinham as classificações com aparência respeitável.
A ESET sinalizou o conjunto completo para o Google em dezembro de 2025 e os aplicativos foram removidos. Mas a remoção veio de um relatório externo, e não do fato de o próprio Google ter detectado algo. Para uma plataforma que investiu pesadamente na detecção automatizada de ameaças e na estrutura da App Protection Alliance, permitir que 28 variantes do mesmo golpe – todas prometendo o mesmo recurso tecnicamente impossível – acumulem milhões de downloads é uma lacuna significativa.
Alguns aplicativos pioraram as coisas ao contornar totalmente a infraestrutura de pagamento do Google, direcionando os usuários para transações UPI de terceiros ou para campos diretos de entrada de cartão incorporados no aplicativo. Isso é uma violação da política da Play Retailer, mas também significa que o Google não pode emitir reembolsos a esses usuários. Qualquer pessoa que pague fora do sistema de cobrança oficial tem que procurar o próprio provedor de pagamento ou os desenvolvedores, que, nem é preciso dizer, não estão particularmente motivados para ajudar.
Os aplicativos funcionaram porque o pitch period irresistível
A parte mais desconfortável dessa história é o que gerou 7,3 milhões de downloads. Esses aplicativos não ofereciam armazenamento em nuvem ou uma nova maneira de editar fotos. Eles ofereciam algo que as pessoas realmente queriam o suficiente para pagar: a capacidade de espionar alguém – um parceiro, um ex, um adolescente ou um contato comercial. Seja qual for o motivo, havia claramente um público grande e disposto a aceitar a ideia.
Os aplicativos atenderam a esse desejo com precisão implacável. Eles pré-selecionaram o código de país +91 da Índia por padrão e apoiaram pagamentos UPI, o que sinaliza que os golpistas entenderam bem o seu público-alvo. Os níveis de assinatura variavam de alguns euros por semana a US$ 80 por ano, oferecendo aos usuários opções que pareciam um serviço legítimo e atendiam a diferentes necessidades. Um aplicativo, quando um usuário tentava sair sem pagar, enviava uma notificação push falsa com o estilo de que um e-mail havia acabado de chegar com os resultados – um empurrãozinho de última hora que o levou de volta ao acesso pago.
Funcionou porque a curiosidade é uma coisa poderosa, e os aplicativos foram desenvolvidos por pessoas que entendiam isso. Retire o andaime técnico e o que você tem é uma fraude muito antiga: cobrar de alguém por algo que ele deseja desesperadamente, dar-lhe um nada aparentemente plausível e contar com o constrangimento para impedi-lo de reclamar muito alto.
Para qualquer pessoa envolvida nisso, as assinaturas processadas através do sistema oficial do Google Play podem ser canceladas – e potencialmente reembolsadas – através das configurações de pagamento da Play Retailer. Todo o resto é uma conversa mais difícil com quem processou o pagamento.
