„CallPhantom“: Android-App liefert falsche Daten anstatt Anrufprotokolle

Die IT-Forscher von Eset haben eine Malware-Kampagne namens „CallPhantom“ aufgespürt, bei der die Drahtzieher hinter den Android-Apps versprechen, den Anrufverlauf beliebiger Nummern zu liefern. Millionen Nutzer haben dafür tatsächlich gezahlt, am Ende jedoch lediglich erfundene Daten erhalten.

In einem Beitrag schreiben die Malware-Analysten, dass die Apps behaupten, SMS-Verläufe und sogar WhatsApp-Anrufprotokolle beliebiger Telefonnummern zugreifen und zugänglich machen zu können. Allerdings mussten Interessierte dafür zahlen oder ein Abo abschließen. Das haben Eset zufolge mehrere Millionen Nutzer von 28 derartigen Apps getan. Sie standen im Google-Play-Store zum Download, wo sie insgesamt rund 7,3 Millionen Mal heruntergeladen und installiert wurden. Nach Information durch das Antivirenunternehmen hat Google die Apps inzwischen entfernt.

Auslöser war eine App namens „Call History of Any Number“, die auch in den App-Store-Screenshots eine Liste mit angeblicher Telefonie-Historie veröffentlicht hatte. Auch die waren gefälscht. Eine Analyse durch die Malware-Analysten ergab, dass die App zufällige Telefonnummern erzeugt, sie mit fix hinterlegten Namen, Uhrzeiten und Gesprächsdauern aus dem eigenen Quellcode versieht. Um die Daten angezeigt zu bekommen, war eine Zahlung notwendig.

28 betrügerische Apps

Mitte Dezember vergangenen Jahres hat Eset die 28 aufgespürten Apps mit gleichem Verhalten an Google gemeldet, inzwischen sind alle aus dem Play Store entfernt. Die einzelnen Apps unterscheiden sich optisch stark. Sie hatten alle insbesondere Nutzer und Nutzerinnen in Indien und anderen Regionen im asiatisch-pazifischen Raum im Visier. Die Ländervorwahl +91 für Indien war in den Apps oft voreingestellt. Sie unterstützen neben den Google-Store-Zahlungsmitteln das in Indien gebräuchliche UPI.

Die Bewertungen zeigten Nutzerbeschwerden, dass es sich etwa um Betrug handele. Die Nutzer hätten gezahlt, aber keine echten Daten erhalten. Die Eset-Forscher schätzen, dass die Aussicht, heimlich Einblick in private Kommunikationsdaten anderer Menschen zu erhalten, für manche verlockend genug gewesen sei, die Apps dennoch zu installieren. Dazu können auch einige positive Bewertungen beigetragen haben, die aber ebenfalls einen gefälschten Eindruck bei den IT-Forschern hinterließen.

Nutzer konnten reguläre In-App-Abos über das Google-Abrechnungssystem erstehen, das darüber geflossene Geld lässt sich möglicherweise zurückholen. Die anderen Zahlungsweisen mittels UPI oder direkt integrierter Kreditkartenformulare verstoßen gegen Google-Richtlinien, zudem ist darüber gezahltes Geld wohl in jedem Fall futsch. Einige Apps waren recht aggressiv mit ihrer Werbung. Haben Nutzer sie geschlossen, ohne etwas zu zahlen, erschienen Benachrichtigungen im Smartphone im Stile neu eingetroffener E-Mails. Ein Klick darauf beförderte Interessierte jedoch nicht zu vorliegenden Daten, sondern auf den Abo-Bildschirm der betrügerischen App.

Die Eset-Forscher liefern noch eine Liste mit den 28 gefundenen Apps und ihren Hashes. Am populärsten war demnach „Call history : any number deta“ (calldetaila.ndcallhisto.rytogetan.ynumber) mit mehr als 3 Millionen Downloads sowie Call History of Any Number (com.pixelxinnovation.manager) und Call Details of Any Number (com.app.call.detail.history) mit jeweils über einer Millionen Downloads. Interessierte können anhand der Liste prüfen, ob sie die Malware installiert haben und diese dann deinstallieren.

Malware in den App-Stores zu den Smartphones ist nicht selten anzutreffen. Im vergangenen August hatten etwa Zscalers ThreatLabz 77 Malware-Apps mit 19 Millionen Installationen gefunden, die den Anatsa-Schadcode aufs Handy beförderten. In der nun gefundenen „CallPhantom“-Kampagne jedoch war offensichtlich keine Malware-Funktion enthalten, sondern die Täter nutzten schlicht die übergriffige Neugier der Opfer aus, um sie zu Zahlungen zu verleiten.

(dmk)