- CallPhantom agrupa 28 aplicaciones Android falsas que simulaban ofrecer historiales de llamadas, SMS y WhatsApp de cualquier número.
- Las apps superaron los 7,3 millones de descargas en Google Play antes de ser retiradas tras el aviso de ESET.
- Los datos mostrados eran siempre inventados y se usaban como gancho para cobrar suscripciones y pagos puntuales.
- Las víctimas tienen opciones limitadas de reembolso, sobre todo cuando el pago se hizo fuera del sistema oficial de Google Play.
Una nueva red de aplicaciones Android fraudulentas ha vuelto a poner en entredicho los filtros de seguridad de Google Play. Bajo el nombre de CallPhantom, un total de 28 apps lograron acumular más de 7,3 millones de descargas prometiendo algo tan llamativo como imposible: consultar el historial de llamadas, mensajes SMS e incluso supuestos registros de llamadas de WhatsApp de cualquier número de teléfono.
La investigación de ESET, socio de la App Defense Alliance de Google, destapó que las aplicaciones no eran capaces de acceder a ningún dato real. Todo lo que el usuario veía tras pagar una cuota o suscribirse eran listados de llamadas generados automáticamente, con números, nombres y horarios inventados para dar apariencia de veracidad. Aun así, las apps consiguieron permanecer durante meses en la tienda oficial y captar víctimas en todo el mundo.
Qué es CallPhantom y cómo funcionaba la estafa
Los analistas bautizaron como CallPhantom al conjunto de 28 aplicaciones Android que explotaban la curiosidad y el morbo de espiar comunicaciones ajenas. Bajo nombres genéricos como «Call History Any Number Detail», «Call History of Any Number» o «Phone Call History Tracker», estas apps aseguraban ser capaces de recuperar el historial de llamadas y mensajes de cualquier número de teléfono introducido por el usuario.
En la práctica, ninguna de estas aplicaciones tenía capacidad técnica para acceder a registros de llamadas, SMS o WhatsApp de terceros. Los supuestos resultados que se mostraban tras el pago eran simples datos sintéticos, construidos a partir de plantillas y listas predefinidas incluidas directamente en el código de la app.
El funcionamiento seguía un patrón bastante parecido en la mayoría de casos: el usuario introducía un número de teléfono, veía una vista previa muy limitada o directamente ningún dato y, para desbloquear el “historial completo”, se le pedía realizar un pago único o suscribirse a un plan semanal, mensual o anual. Solo entonces la aplicación generaba un listado de llamadas apócrifas con nombres, horarios y duraciones que parecían plausibles, pero que no se correspondían con ninguna comunicación real.
Algunas aplicaciones iban un paso más allá y requerían también un correo electrónico al que supuestamente enviarían el informe de llamadas. El proceso era siempre el mismo: primero el pago, después un pseudo‑informe inventado, si es que llegaba algo. No había ningún mecanismo que conectara con operadoras, plataformas de mensajería o bases de datos de terceros, algo que, además de ser inviable a nivel técnico y legal, habría supuesto graves violaciones de privacidad.
De Reddit a los laboratorios de ESET: así empezó la investigación
El origen de la investigación se remonta a noviembre de 2025, cuando apareció en Reddit un hilo analizando la aplicación “Call History of Any Number”, disponible en ese momento en Google Play. Quien abrió el debate ya avisaba de que el comportamiento de la app era, como mínimo, sospechoso.
La aplicación se presentaba bajo el desarrollador «Indian gov.in», un nombre pensado claramente para evocar una supuesta relación con el Gobierno de la India. Sin embargo, los investigadores de ESET no tardaron en comprobar que no existía ningún vínculo oficial. El uso del término «gov.in» era puramente oportunista, una forma de dar un barniz de legitimidad institucional a un producto que no lo tenía.
Tras descargar y analizar la aplicación, los expertos confirmaron sus sospechas: los listados de llamadas mostrados eran completamente falsos. En el código se encontraron números aleatorios combinados con nombres y horarios preconfigurados, que se reutilizaban una y otra vez con ligeras variaciones. Incluso se localizaron capturas de pantalla promocionales donde se mostraban esos mismos datos inventados como si fueran una demostración real de la funcionalidad.
A partir de ese primer hallazgo, los investigadores ampliaron el rastreo y localizaron en Google Play un total de 28 aplicaciones relacionadas que seguían el mismo modelo de negocio engañoso. El 16 de diciembre de 2025, ESET reportó todo el conjunto a Google. Cuando la compañía hizo pública su investigación, todas las apps habían sido ya retiradas de la tienda oficial.
Dos grandes familias de apps falsas y un mismo objetivo
Durante el análisis, ESET identificó dos clústeres claramente diferenciados dentro de la campaña CallPhantom, aunque ambos compartían un mismo objetivo: cobrar por acceso a datos de comunicaciones que nunca existían.
En el primer grupo se incluían las aplicaciones que incorporaban directamente en su código plantillas con nombres, prefijos internacionales y estructuras de llamadas. A partir de esos elementos, la app generaba datos aleatorios que se mostraban como “resultados parciales” antes del pago. Una vez el usuario desembolsaba la cuota, se ampliaba el listado con más registros falsos para reforzar la ilusión de que la herramienta había recuperado un historial completo.
El segundo clúster estaba formado por apps que pedían introducir una dirección de correo electrónico y prometían enviar allí el informe de llamadas. Hasta que el usuario no pagaba o se suscribía, no se generaba ningún contenido. En muchos casos, ni siquiera había un informe real como tal: el proceso podía quedarse en una simple pantalla de confirmación o en un pseudo‑historial igualmente inventado.
En ambos escenarios, las aplicaciones compartían otro rasgo llamativo: no solicitaban permisos intrusivos ni accesos delicados al dispositivo. No pedían acceso al registro de llamadas del propio móvil, ni a la agenda, ni a los SMS, ni a la cuenta de WhatsApp, porque no lo necesitaban. Al no intentar recopilar datos reales, tampoco se comportaban como el típico malware que dispara alertas de seguridad. Eso explicaría que consiguieran pasar inadvertidas durante tanto tiempo en Google Play.
Esta discreción técnica, unida a interfaces simples y bien pulidas, contribuyó a que millones de personas descargaran estas apps sin levantar sospechas inmediatas. Para muchos usuarios, la ausencia de permisos agresivos era incluso una señal de confianza, cuando en realidad era parte de la estrategia para colarse en la tienda oficial sin llamar la atención.
Dónde se concentraron las víctimas y por qué afecta también a Europa
Los datos recopilados por ESET apuntan a que la mayoría de descargas se produjeron en India y en otros países de la región Asia‑Pacífico. Muchas de las aplicaciones venían con el prefijo internacional +91 (India) preseleccionado, y varias de ellas integraban directamente métodos de pago locales como UPI, muy extendidos en ese país.
Aun así, el problema no se limita a esa zona geográfica. Al tratarse de apps publicadas en la Google Play Store, cualquier usuario con un móvil Android en Europa o España podía instalarlas con unos pocos toques, ya fuera por curiosidad, por desconocimiento o atraído por reseñas engañosas y descripciones sugerentes.
La estrategia de los desarrolladores era aprovechar un nicho especialmente delicado: personas que buscan aplicaciones para espiar o acceder a datos privados de terceros. Este tipo de búsquedas, aunque cuestionables desde el punto de vista legal y ético, son relativamente frecuentes, y los estafadores lo saben. Ofrecer algo que parece «demasiado bueno para ser verdad» (como acceder al historial de WhatsApp de cualquiera) es un gancho potente para usuarios poco informados o dispuestos a asumir riesgos.
En Europa, donde existe una regulación estricta en materia de protección de datos y comunicaciones, cualquier herramienta real que prometiera acceder al historial de llamadas o mensajes de otra persona sería abiertamente ilegal. Sin embargo, el hecho de que estas apps se publicaran en la tienda oficial y no solicitaran permisos sospechosos podía dar una falsa sensación de legitimidad a quienes no están familiarizados con los límites técnicos y legales de este tipo de servicios.
Un paseo rápido por las reseñas que dejaron algunos usuarios muestra el alcance del engaño: abundan los comentarios negativos de víctimas que pagaron por un servicio que nunca funcionó como se anunciaba. En muchos casos, los afectados explicaban que no habían recibido ningún informe válido, que los datos resultaban incoherentes o que, directamente, la app dejó de responder tras el cobro.
Los métodos de pago utilizados y por qué complican los reembolsos
Uno de los aspectos más preocupantes de CallPhantom es la diversidad de métodos de pago incorporados en las distintas apps, algo que complica seriamente las posibilidades de recuperar el dinero perdido.
En algunos casos, las aplicaciones utilizaban el sistema oficial de facturación de Google Play para gestionar suscripciones semanales, mensuales o anuales. Esta vía, aunque se empleaba para un servicio falso, al menos permitía que las transacciones quedaran registradas dentro del ecosistema de Google, con las protecciones habituales de cancelación y reembolso previstas en la política de la compañía.
Sin embargo, un número significativo de apps recurría a plataformas de pago externas, como servicios compatibles con UPI o formularios integrados para introducir directamente los datos de la tarjeta. En muchas de ellas se encontraron URLs codificadas en el propio código o gestionadas a través de Firebase en tiempo real, lo que permitía a los operadores cambiar en cualquier momento la cuenta que recibía el dinero.
En algunos casos se observaron incluso tácticas adicionales para empujar al usuario a pagar. Si la persona cerraba la aplicación sin completar la suscripción, podía aparecer una notificación que imitaba un correo electrónico nuevo, sugiriendo que los resultados del historial de llamadas ya estaban listos. Al pulsar sobre ese mensaje, el usuario volvía a ser redirigido a la pantalla de pago, reforzando la presión psicológica para que completara la operación.
Los importes exigidos variaban considerablemente: desde suscripciones de apenas 5 euros hasta planes que podían acercarse a los 80 dólares, dependiendo de la modalidad (semanal, mensual o anual) y de la app concreta. Para muchos usuarios, la cantidad no era lo bastante elevada como para iniciar reclamaciones complejas, lo que probablemente jugó a favor de los estafadores.
En el caso de las suscripciones tramitadas a través de Google Play, todas fueron canceladas automáticamente cuando las apps se eliminaron de la tienda. Los usuarios pueden comprobarlo desde el apartado «Pagos y suscripciones» de la Play Store, donde también es posible solicitar reembolsos dentro de los plazos y condiciones que fija la política de Google.
El problema es mayor cuando el pago se realizó fuera de la plataforma oficial. Si la transacción se hizo mediante UPI, pasarelas de terceros o introduciendo la tarjeta directamente dentro de la app, Google no puede intervenir ni revocar el cargo. En esos casos, la única vía es contactar con el proveedor de pagos (banco, emisor de la tarjeta, servicio de cartera digital) y, si procede, reclamar la operación como fraude, algo que no siempre garantiza recuperar el dinero.
Indicadores técnicos y control de la infraestructura
Más allá del engaño al usuario final, la campaña CallPhantom dejaba un rastro técnico que ayuda a entender cómo se coordinaba. ESET documentó múltiples paquetes de aplicaciones (APK y XAPK) firmados y distribuidos bajo distintos nombres, pero unidos por patrones de comportamiento y detección que permitieron agruparlos como una única familia de fraude.
Los expertos también identificaron servidores asociados a bases de datos Firebase que actuaban como centros de mando y control (C&C), alojados en infraestructura de Google Cloud. Desde ahí se podían actualizar dinámicamente parámetros de las apps, como las direcciones de pago o ciertos textos mostrados al usuario, sin necesidad de publicar nuevas versiones en la Play Store.
En términos de clasificación de amenazas, los productos de seguridad de ESET detectan estas aplicaciones bajo la denominación Android/CallPhantom, con variantes etiquetadas individualmente según sus características. Aunque no se trata de malware tradicional especializado en robar información del dispositivo, sí encaja en la categoría de software engañoso que persigue una facturación fraudulenta.
El uso de Firebase y notificaciones push se alinea con técnicas descritas en el marco MITRE ATT&CK para Android, particularmente en lo referente a generar tráfico desde el dispositivo de la víctima con fines económicos. En este caso, la finalidad no era saturar redes ni participar en ataques distribuidos, sino facilitar cobros recurrentes a costa de un servicio inexistente.
Para el usuario medio, todos estos detalles técnicos pueden pasar desapercibidos, pero desde la perspectiva de las empresas de ciberseguridad y de los equipos de respuesta a incidentes, sirven para perfilar mejor a los actores detrás de la campaña y anticipar posibles reapariciones bajo otros nombres. La experiencia demuestra que, cuando una familia de apps fraudulentas consigue cierto éxito, no es raro que sus creadores intenten replicar el modelo cambiando algunas piezas para esquivar los controles.
Consejos prácticos para usuarios de Android en España y Europa
El caso CallPhantom deja varias lecciones que resultan especialmente relevantes para usuarios de Android en España y otros países europeos, donde el uso de aplicaciones móviles es masivo y la confianza en las tiendas oficiales sigue siendo muy alta.
En primer lugar, conviene asumir un principio básico: ninguna app legítima puede ofrecer acceso al historial de llamadas, SMS o WhatsApp de otra persona. Ni las operadoras, ni las plataformas de mensajería, ni los sistemas operativos permiten algo así por diseño, entre otras cosas porque chocaría frontalmente con la normativa de privacidad y el secreto de las comunicaciones.
Desde el punto de vista de buenas prácticas, los especialistas recomiendan descargar solo aplicaciones de desarrolladores reconocidos y comprobar con calma tanto las reseñas como el número de descargas. Una app que promete algo extremadamente invasivo, tiene un nombre genérico y una descripción poco clara, pero acumula millones de instalaciones en poco tiempo, debería activar todas las alarmas.
También es importante revisar con detalle los permisos que solicita cada aplicación durante la instalación o en el primer uso. Aunque en el caso de CallPhantom la estafa se apoyaba precisamente en pedir pocos permisos, en otras campañas maliciosas los ciberdelincuentes tratan de recopilar contactos, SMS, acceso a notificaciones o incluso a la cámara y el micrófono, algo que, si no está claramente justificado por la función de la app, debería hacer que el usuario se replantee continuar.
Por último, resulta fundamental mantener el sistema operativo y las soluciones de seguridad al día. Herramientas como Google Play Protect y las soluciones antivirus para Android pueden ayudar a detectar comportamientos anómalos, bloquear descargas sospechosas y alertar sobre aplicaciones recién catalogadas como peligrosas o engañosas.
Si a pesar de todo alguien cae en la trampa de una app similar a CallPhantom, el primer paso es cancelar cualquier suscripción activa desde Google Play o desde el servicio de pago utilizado. A continuación, conviene desinstalar la aplicación, revisar los extractos bancarios y, si se detecta algún cargo no autorizado, contactar lo antes posible con la entidad financiera para valorar la posibilidad de retroceder el pago o bloquear la tarjeta.
El episodio de CallPhantom demuestra hasta qué punto los estafadores son capaces de explotar lagunas en la supervisión de las tiendas oficiales y la curiosidad de los usuarios para monetizar servicios ficticios. Aunque en este caso Google actuó tras recibir el aviso y eliminó las 28 aplicaciones afectadas, iniciativas como la IA antifraude de Meta buscan frenar estafas online, el modelo de fraude que hay detrás es fácilmente replicable: promesas imposibles, pagos recurrentes y datos inventados para mantener la ilusión. Estar alerta, desconfiar de ofrecimientos que vulneran la privacidad y revisar con lupa qué instalamos en el móvil se ha convertido, más que nunca, en una parte esencial de nuestro día a día digital.
