Приложения для фейкового слежения набрали миллионы загрузок. Это многое говорит о безопасности Google и о нас самих.

Дядя Влад

Не существует приложения, позволяющего просмотреть историю звонков другого человека. Такого приложения никогда не было и почти наверняка никогда не будет — операторы связи не раскрывают эти данные, и ни один сторонний разработчик не имеет доступа, необходимого для их получения. Это не спорный вопрос; это просто невозможно. И тем не менее, по данным welivesecurity , 7,3 миллиона человек скачали приложения, которые, как утверждалось, делали именно это.

Специалисты по безопасности из ESET потратили месяцы на распутывание разветвленной сети из 28 мошеннических приложений для Android, которые они в совокупности назвали CallPhantom — приложений, обещавших пользователям доступ к информации о телефонных звонках любого человека: журналам звонков, записям SMS и даже истории WhatsApp. Нужно было ввести номер, заплатить небольшую сумму, и якобы раскрывались бы секреты того, кого вы искали. На самом деле же это была выдумка — случайные телефонные номера, замаскированные под закодированные имена и временные метки, сгенерированные самим приложением, выглядели достаточно убедительно, чтобы казаться реальными. В итоге пользователи видели эти поддельные данные только после оплаты. Такая последовательность не случайна.

В этом отношении у Google Play Store был серьёзный недостаток.

Все 28 приложений достаточно долго находились в Google Play Store , чтобы набрать миллионы загрузок. Одно из них было опубликовано под названием «Indian gov.in», псевдоним разработчика, подразумевающий легитимность перед правительством, на которую оно не имело права претендовать. В нескольких приложениях были разделы отзывов, полные сообщений пользователей, прямо утверждавших, что их обманули, и эти предупреждения сочетались с группами подозрительно восторженных пятизвездочных отзывов, которые поддерживали рейтинг на приемлемом уровне.

Страница, Текст, Электроника
WeLiveSecurity

В декабре 2025 года компания ESET сообщила Google о наличии всех этих приложений, и они были удалены. Однако удаление произошло на основании внешнего отчета, а не благодаря тому, что Google обнаружил проблему самостоятельно. Для платформы, которая вложила значительные средства в автоматическое обнаружение угроз и структуру App Defense Alliance, допустить, чтобы 28 вариантов одной и той же мошеннической схемы — все обещающие одну и ту же технически невозможную функцию — набрали миллионы загрузок, является существенным недостатком.

Некоторые приложения усугубили ситуацию, полностью обойдя платежную инфраструктуру Google и перенаправив пользователей на транзакции через UPI сторонних поставщиков или на поля для ввода данных карты, встроенные в приложение. Это нарушение политики Play Store, но также означает, что Google не может вернуть деньги этим пользователям. Любой, кто оплатил покупку вне официальной платежной системы, должен самостоятельно связаться с поставщиком платежных услуг или с разработчиками, которые, само собой разумеется, не особенно заинтересованы в оказании помощи.

Приложения сработали, потому что предложение было неотразимым.

Самая неприятная часть этой истории — это то, что изначально привело к 7,3 миллионам загрузок. Эти приложения не предлагали облачное хранилище или новый способ редактирования фотографий. Они предлагали то, чего люди действительно очень хотели, и за что были готовы платить: возможность следить за кем-то — за партнером, бывшим, подростком или деловым партнером. Какова бы ни была причина, очевидно, что у этой идеи была большая и заинтересованная аудитория.

Приложения использовали это желание с безжалостной точностью. По умолчанию они предварительно выбирали код страны Индии +91 и поддерживали платежи через UPI, что свидетельствует о том, что мошенники хорошо понимали свою целевую аудиторию. Стоимость подписки варьировалась от нескольких евро в неделю до 80 долларов в год, предоставляя пользователям варианты, которые воспринимались как легитимный сервис и удовлетворяли различные потребности. В одном из приложений, когда пользователь пытался выйти, не заплатив, отправлялось поддельное push-уведомление, оформленное как электронное письмо с результатами — последний отчаянный шаг, который вел прямиком к платному контенту.

Файл, Текст
WeLiveSecurity

Это сработало, потому что любопытство — мощная сила, и приложения были разработаны людьми, которые это понимали. Отбросьте техническую основу, и вы получите очень старую аферу: брать с кого-то деньги за то, чего он отчаянно хочет, давать ему что-то, что выглядит правдоподобно, и рассчитывать на то, что смущение удержит его от слишком громких жалоб.

Для тех, кто столкнулся с этой проблемой, подписки, оформленные через официальную систему Google Play, можно отменить — и, возможно, получить возврат средств — через настройки оплаты в Play Store. В остальных случаях придётся вести переговоры с тем, кто обработал платеж.