這 28 款應用程式在被官方應用程式商店下架前,總計累積了超過 730 萬次的下載量,其中一款應用程式的下載量就超過 300 萬次。斯洛伐克資安公司 ESET 將此活動命名為 CallPhantom,主要目標是印度及更廣泛的亞太地區的 Android 用戶。
ESET 安全研究員 Lukáš Štefanko 在分享給 The Hacker News 的報告中表示:「這些我們以 CallPhantom 命名的違規應用程式,基於其虛假聲稱,聲稱能提供任何電話號碼的通話紀錄、簡訊記錄,甚至 WhatsApp 通話記錄。為了解鎖這項所謂的功能,用戶被要求付費——但他們得到的卻是隨機生成的數據。」
以下是已識別的應用程式列表 -
至少有一款被標記的應用程式是以「Indian gov.in」的開發者名稱發布,試圖建立虛假的信任感,並欺騙毫無戒心的用戶下載。然而,這種伎倆掩蓋了惡意的動機,受害者被要求付款才能查看電話號碼的通話和簡訊記錄的詳細資訊。一旦付款完成,用戶將直接獲得嵌入在原始碼中的完全偽造的電話號碼和姓名。證據表明,此活動自 2025 年 11 月以來一直活躍。
發現了第二批這類應用程式,它們會提示用戶輸入他們的電子郵件地址,聲稱任何電話號碼的詳細資訊將會發送到該地址。與前一種情況一樣,在付款完成之前不會生成任何數據。
這項活動之所以引人注目,是因為這些應用程式的用戶介面簡單,並且不要求任何敏感權限。最重要的是,它們甚至不包含任何擷取通話、簡訊或 WhatsApp 數據的功能。
此披露之際,Group-IB 表示,惡意行為者已透過冒充該國稅務平台 CoreTax 和其他可信品牌進行的詐騙活動,從印尼用戶那裡竊取了估計 200 萬美元。這項於 2025 年 7 月開始的活動,與一個名為 GoldFactory 的經濟動機威脅集群有關。
Group-IB 表示:「攻擊鏈整合了網路釣魚網站、社交工程(WhatsApp)、惡意 APK 側載和語音釣魚(vishing),以實現完整的設備妥協和未經授權的轉帳執行。」
總體而言,這些攻擊涉及使用社交工程透過 WhatsApp 分發假應用程式,一旦安裝,就會部署如 Gigabud RAT、MMRat 和 Taotie 等 Android 惡意軟體,這些惡意軟體能夠竊取敏感數據並下載其他組件。然後,竊取的資訊用於進行帳戶接管攻擊和金融盜竊。
Group-IB 表示:「支持此詐騙活動的惡意軟體基礎設施不僅限於單一仿冒服務。觀察到相同的基礎設施積極濫用超過 16 個可信品牌,總體目標是印尼約 2.87 億的廣泛人口。」
