O Google acaba de retirar 28 aplicativos fraudulentos da Play Store. Especialistas em segurança estiveram envolvidos na enorme operação fraudulenta CallPhantom ESET descobriram que esses aplicativos permitiam que você visse o histórico de chamadas, mensagens de texto e registros de chamadas do WhatsApp de qualquer pessoa simplesmente digitando o número de telefone.
O pesquisador da ESET Lukáš Štefanko disse: “Em novembro de 2025, vimos uma postagem no Reddit sobre um aplicativo encontrado no Google Play chamado Histórico de chamadas de qualquer número.
“Sem surpresa, nossa análise revelou que os dados do histórico de chamadas fornecidos por este aplicativo são totalmente fictícios – o aplicativo gera números de telefone aleatórios e os combina com nomes fixos, horários e durações de chamadas que foram incorporados diretamente no código.”
Mais de 7,3 milhões de pessoas baixaram esses aplicativos antes de serem removidos permanentemente.
No entanto, nenhum aplicativo legítimo pode realmente acessar os registros telefônicos privados de outra pessoa. As operadoras móveis não compartilham esses dados com desenvolvedores terceiros.
O WhatsApp tem criptografia completa habilitada para chamadas e aplicativos. É como enviar uma carta em uma caixa trancada onde só você e seu parceiro têm a chave. Cada dispositivo que participa de uma conversa criptografada possui sua própria chave especial que embaralha suas mensagens, fotos e videochamadas à medida que são enviadas. A única maneira de decodificá-los é usar a chave apropriada do outro lado. O Instagram removeu recentemente essa proteção.
O golpe funcionou mostrando aos usuários registros de chamadas falsas. Quando você abriu um desses aplicativos e digitou um número de telefone, ele exibiu uma visualização convincente do que pareciam ser dados legítimos do histórico de chamadas.
Pegar? Você tinha que pagar para desbloquear os chamados resultados completos.
Os preços das assinaturas variaram de cerca de US$ 6 (cerca de £ 5) para acesso semanal a US$ 80 (quase £ 60) para um plano anual.
Mas depois de pagar, os usuários receberam dados fictícios. Os pesquisadores descobriram que os aplicativos geravam números de telefone aleatórios e os combinavam com nomes pré-carregados, horários de chamadas e durações incorporados ao código do aplicativo.
Alguns aplicativos também enviaram notificações falsas que pareciam e-mails oficiais, alegando falsamente que os resultados da pesquisa estavam prontos, tudo para que você se inscrevesse.
Esse golpe atingiu mais duramente os usuários indianos, com 53,7% dos acessos vindos do país. Muitos aplicativos já tinham o código de país indiano +91 selecionado e suportavam UPI, um sistema de pagamento muito popular por lá.
Os aplicativos também tinham seções de avaliação onde usuários desonestos alertavam outros, mas elas ficavam ao lado de grupos suspeitosamente brilhantes de avaliações cinco estrelas que mantinham as classificações respeitáveis.
Se você foi vítima de um desses aplicativos e pagou por meio do sistema de cobrança oficial do Google Play, há boas notícias: sua assinatura foi cancelada automaticamente e você pode obter um reembolso nas configurações de pagamento da Play Store.
No entanto, se você pagou com um aplicativo de terceiros ou inseriu os dados do seu cartão diretamente em um desses aplicativos, você mesmo precisará entrar em contato com seu banco ou provedor de serviços de pagamento para obter um reembolso.