Spionage-App entpuppt sich als Abofalle : Wer fremde Anruflisten kaufen wollte, bekam Fantasiedaten

Der erste Reflex darf durchaus ein spöttisches Kopfschütteln sein: Wer eine App installiert, um angeblich Kommunikationsprotokolle fremder Telefonnummern auszuspionieren, bewegt sich moralisch und rechtlich auf sehr dünnem Eis. Im aktuellen Fall endete dieser Versuch jedoch nicht mit einem Überwachungserfolg, sondern mit einem Abo, erfundenen Namen, zufällig zusammengestöpselten Telefonnummern und einem finanziellen Schaden.

Genau darin liegt die besondere Ironie dieser Kampagne. Die Apps versprachen eine Funktion, die seriöse Anbieter gar nicht anbieten dürften. Die Nutzer wurden also mit dem Wunsch nach einer mutmaßlich illegalen Auskunft in eine klassische Bezahllüge gelockt.

Was genau war passiert?

Mehr als 7,3 Millionen Downloads, offizielle Präsenz im Google Play Store und ein Angebot, das technisch wie rechtlich hochproblematisch war: Sicherheitsanalysten von ESET haben eine Betrugskampagne aufgedeckt, bei der 28 Android-Apps angeblich die Kommunikationsprotokolle beliebiger Telefonnummern bereitstellen sollten. Die von ESET CallPhantom genannte Aktivität zielte vor allem auf Nutzer in Indien und im asiatisch-pazifischen Raum, war jedoch global verfügbar.

Die Masche war simpel, aber wirkungsvoll. Nutzer sollten eine Telefonnummer eingeben und anschließend bezahlen, um vermeintliche Details zu deren Kommunikationsverlauf zu erhalten. Lukáš Štefanko von ESET beschreibt den Kern des Betrugs so: „Um diese angebliche Funktion freizuschalten, werden Nutzer zur Zahlung aufgefordert – doch sie erhalten lediglich zufällig erzeugte Daten.“ In den Apps waren Namen und Telefonnummern teils direkt im Quellcode hinterlegt. Eine echte technische Funktion zum Abruf von Anruflisten, Kurznachrichten oder WhatsApp-Daten gab es nicht.

Angetäuschte Funktion rechtlich nicht haltbar

Wäre das Versprechen echt gewesen, wäre es datenschutzrechtlich hoch problematisch. Kommunikationsmetadaten sind personenbezogene Daten. Sie verraten, wer wann mit wem kommuniziert hat, und können private Beziehungen, geschäftliche Kontakte, Gewohnheiten oder Bewegungsmuster sichtbar machen. In Europa dürfte eine solche Verarbeitung nur auf einer tragfähigen Rechtsgrundlage erfolgen; die Datenschutz-Grundverordnung (DSGVO) verlangt für die rechtmäßige Verarbeitung personenbezogener Daten eine passende Rechtsgrundlage, etwa eine wirksame Einwilligung oder eine andere klar definierte gesetzliche Erlaubnis.

Auch Google behandelt Anruflisten und Kurznachrichten als besonders schützenswerte Daten. Der Zugriff auf entsprechende Berechtigungen ist im Google Play Store stark eingeschränkt und nur für eng definierte Kernfunktionen zulässig. Apps, die dafür nicht qualifiziert sind, müssen diese Berechtigungen entfernen. Genau das machte CallPhantom zugleich unscheinbar und perfide: Die Apps forderten offenbar keine auffälligen sensiblen Berechtigungen an, weil sie gar nichts auslesen konnten. Der Betrug steckte nicht in einer ausgefeilten Spionagefunktion, sondern im Versprechen selbst.

Vertrauen durch Tarnung

Mindestens eine der Apps wurde unter dem Entwicklernamen „Indian gov.in“ veröffentlicht. Damit sollte offenbar der Eindruck einer staatlichen oder offiziellen Herkunft entstehen. Gerade dieser Vertrauensanker machte die Anwendungen gefährlich: Sie mussten keine auffälligen Berechtigungen anfordern, hatten einfache Oberflächen und wirkten deshalb weniger verdächtig als klassische Schadprogramme.

ESET geht davon aus, dass die Kampagne mindestens seit November 2025 aktiv war. Eine der Apps kam allein auf mehr als drei Millionen Downloads, bevor Google die Anwendungen aus dem Play Store entfernte.

Bezahlen für erfundene Daten

Die Apps nutzten mehrere Zahlungswege:

• Abonnements über das offizielle Abrechnungssystem des Google Play Store
• Zahlungen über Unified Payments Interface, darunter Google Pay, PhonePe und Paytm
• Direkte Kreditkartenformulare innerhalb der Apps

Die letzten beiden Verfahren verstießen laut Bericht gegen die Richtlinien von Google. Die Preisspanne reichte je nach App von etwa sechs bis 80 US-Dollar. Besonders perfide war ein zusätzlicher Trick: Verließ ein Nutzer die App ohne Zahlung, erschien eine Benachrichtigung, die behauptete, die gewünschte Anrufhistorie sei bereits per E-Mail verschickt worden. Ein Klick führte direkt zurück zur Abo-Seite.

Erstattung bleibt schwierig

Für Nutzer, die über die offizielle Google-Play-Abrechnung bezahlt haben, besteht nach Angaben von ESET grundsätzlich die Chance auf eine Rückerstattung gemäß den Google-Richtlinien. Bei Zahlungen über Drittanbieter oder direkt eingegebenen Kartendaten ist Google hingegen nicht zuständig. Betroffene sind dann auf Zahlungsdienstleister oder die Entwickler angewiesen – was bei betrügerischen Apps praktisch kaum Aussicht auf Erfolg bietet.

Größerer Trend: Social Engineering statt auffälliger Malware

Der Fall zeigt, wie sich mobiler Betrug verschiebt. CallPhantom benötigte keine tiefen Systemrechte, keine komplexe Schadfunktion und keinen heimlichen Datenabfluss. Die Täuschung fand vor allem im Kopf des Nutzers statt: ein starkes Versprechen, ein scheinbar offizieller Auftritt und ein schneller Zahlungsdruck.

Der wichtigste Warnhinweis ist hier nicht eine Berechtigung, sondern das Geschäftsmodell. Apps, die Zugriff auf fremde Anruflisten, Kurznachrichten oder WhatsApp-Protokolle versprechen, bieten keine legitime Funktion, sondern locken mit illegalen oder unmöglichen Versprechen. Gerade wenn vor der angeblichen Ergebnisanzeige bezahlt werden soll, ist höchste Skepsis angebracht.

Hier eine Liste der identifizierten Apps:

• Call history : any number deta
  Paketname: calldetaila.ndcallhisto.rytogetan.ynumber
• Call History of Any Number
  Paketname: com.pixelxinnovation.manager
• Call Details of Any Number
  Paketname: com.app.call.detail.history
• Call History Any Number Detail
  Paketname: sc.call.ofany.mobiledetail
• Call History Any Number Detail
  Paketname: com.cddhaduk.callerid.block.contact
• Call History Of Any Number
  Paketname: com.basehistory.historydownloading
• Call History of Any Numbers
  Paketname: com.call.of.any.number
• Call History Of Any Number
  Paketname: com.rajni.callhistory
• Call History Any Number Detail
  Paketname: com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager
• Call History Any Number Detail
  Paketname: com.callinformative.instantcallhistory.callhistorybluethem.callinfo
• Call History Any Number detail
  Paketname: com.call.detail.caller.history
• Call History Any Number Detail
  Paketname: com.anycallinformation.datadetailswho.callinfo.numberfinder
• Call History Any Number Detail
  Paketname: com.callhistory.callhistoryyourgf
• Call History Any Number
  Paketname: com.calldetails.smshistory.callhistoryofanynumber
• Call History Any Number Detail
  Paketname: com.callhistory.anynumber.chapfvor.history
• Call History of Any Number
  Paketname: com.callhistory.callhistoryany.call
• Call History Any Number Detail
  Paketname: com.name.factor
• Call History Of Any Number
  Paketname: com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber
• Call History Of Any Number
  Paketname: com.chdev.callhistory
• Phone Call History Tracker
  Paketname: com.phone.call.history.tracke
• Call History- Any Number Deta
  Paketname: com.pdf.maker.pdfreader.pdfscanner
• Call History Of Any Number
  Paketname: com.any.numbers.calls.history
• Call History Any Number Detail
  Paketname: com.callapp.historyero
• Call History – Any Number Data
  Paketname: all.callhistory.detail
• Call History For Any Number
  Paketname: com.easyranktools.callhistoryforanynumber
• Call History of Numbers
  Paketname: com.sbpinfotech.findlocationofanynumber
• Call History of Any Number
  Paketname: callhistoryeditor.callhistory.numberdetails.calleridlocator
• Call History Pro
  Paketname: com.all_historydownload.anynumber.callhistorybackup

Weitere Artikel zum Thema:

Die zweite Meinung

Krieg ohne Grenzen? (1)