Apps falsos no Google Play vendiam histórico de chamadas fictício

11 maio Apps falsos no Google Play vendiam histórico de chamadas fictício

Posted at 18:15h in Tech-Pt-br by

A empresa de cibersegurança ESET identificou 28 aplicativos Android na Google Play Store que cobravam dos usuários para exibir o histórico de chamadas, SMS e ligações pelo WhatsApp de qualquer número de telefone. Os apps não tinham nenhuma tecnologia capaz de fazer isso. Os dados entregues após o pagamento eram completamente inventados.

Juntos, os aplicativos acumularam mais de 7,3 milhões de downloads antes de serem removidos. A descoberta foi reportada ao Google em dezembro de 2025. Todos os apps foram retirados da loja após a notificação.

Apps que prometiam o impossível

O que os aplicativos prometiam é tecnicamente inviável. Nenhum app tem acesso ao histórico de chamadas ou mensagens de um número de telefone alheio. Essas informações são protegidas pelas operadoras e pelos próprios sistemas operacionais dos celulares.

Um dos apps foi publicado sob o nome “Indian gov.in”, simulando ser um serviço oficial do governo da Índia para ganhar a confiança dos usuários. Imagem: ESET.

Mesmo assim, os apps apresentavam uma interface simples e convincente. O usuário digitava um número de telefone qualquer, e o app exibia um “resultado parcial” para parecer que a busca tinha funcionado. Para ver o histórico completo, era preciso pagar.

Após o pagamento, o que aparecia eram nomes, números e horários gerados aleatoriamente. Esses dados estavam embutidos diretamente no código dos aplicativos e não tinham nenhuma relação com o número pesquisado.

Dois modelos de golpe

A ESET identificou dois grupos de apps com abordagens diferentes. No primeiro grupo, o app já mostrava um histórico falso e parcial antes do pagamento. A ideia era criar a impressão de que o sistema funcionava, induzindo o usuário a pagar para “desbloquear” o restante.

O “histórico” exibido após o pagamento era gerado a partir de nomes e números fixos no código do app, sem qualquer relação com o número pesquisado. Imagem: ESET.

No segundo grupo, o app pedia o endereço de e-mail do usuário. A promessa era de que o histórico seria enviado para aquele e-mail após o pagamento. Nenhum dado era gerado de fato, e nenhum e-mail com informações reais chegava.

Em pelo menos um caso, os pesquisadores identificaram uma tática extra para convencer quem ainda não tinha pago. Se o usuário fechasse o app sem assinar, recebia uma notificação falsa dizendo que o histórico tinha chegado no e-mail. Ao clicar na notificação, era levado direto para a tela de assinatura.

Como os pagamentos eram cobrados

Os apps usavam três formas de cobrança. A primeira era pelo sistema oficial da Google Play, que exige assinatura dentro da própria loja. A segunda era por meio de aplicativos de pagamento terceiros compatíveis com UPI, um sistema de transferências instantâneas muito popular na Índia. A terceira era por formulários de cartão de crédito inseridos diretamente dentro do app.

Os 28 aplicativos tinham visuais diferentes entre si, mas funcionavam de forma idêntica. Juntos, acumularam mais de 7,3 milhões de downloads. Imagem: ESET.

As duas últimas formas violam as políticas da Google Play. Além disso, dificultam o reembolso, já que o Google só consegue estornar pagamentos feitos pelo sistema oficial da loja. Os preços variavam bastante entre os apps. O plano mais barato custava em média 5 euros. O mais caro chegava a 80 dólares.

Como os aplicativos não pediam permissões invasivas no celular, não acessavam câmera, microfone, contatos nem arquivos, é difícil que ferramentas de segurança consigam detectar a atividade fraudulenta.

Foco na Índia e na região Ásia-Pacífico

A campanha tinha como alvo principal usuários da Índia e de outros países da Ásia-Pacífico. A maioria dos apps vinha com o código telefônico da Índia (+91) já pré-selecionado e aceitava UPI como forma de pagamento.

A interface dos apps era simples e não pedia permissões sensíveis, o que dificultou a detecção automática pela loja. Imagem: ESET.

Um dos aplicativos foi publicado com o nome de desenvolvedor “Indian gov.in”, simulando ser um serviço oficial do governo indiano. Não havia nenhuma ligação real com o governo.

Os apps acumularam avaliações negativas nas lojas, com usuários relatando que foram enganados e nunca receberam o que foi prometido. Ainda assim, chegaram a 7,3 milhões de downloads no total. Um único app respondeu por mais de 3 milhões dessas instalações.

O que fazer se você foi vítima

Quem assinou por meio do sistema oficial da Google Play pode tentar cancelar e solicitar reembolso diretamente pela loja. O processo é feito acessando o ícone de perfil, depois “Pagamentos e assinaturas” e em seguida “Assinaturas”.

Usuários que pagaram pelo serviço relataram nas avaliações que os dados eram falsos e que os desenvolvedores não ofereceram reembolso. Imagem: ESET.

Quem pagou fora do sistema da Google Play, seja por UPI ou por cartão de crédito inserido no app, não pode solicitar reembolso ao Google. Nesses casos, é necessário acionar diretamente o provedor de pagamento utilizado ou tentar contato com o desenvolvedor do aplicativo.

Com a remoção dos apps, as assinaturas ativas feitas pelo sistema oficial da loja foram automaticamente canceladas.