ESET araştırmacıları, Google Play’de “herhangi bir numara için” arama geçmişi sağladığını iddia eden ve kaldırılmadan önce yedi milyondan fazla kez indirilmiş olan sahte uygulamaları ortaya çıkardı.
Günümüzde her şey için bir uygulama var… değil mi? Aslında seçilen bir telefon numarasının arama kayıtlarını aramak bunlardan biri değil çünkü milyonlarca Android kullanıcısı, tam da bunu vaat eden uygulama abonelikleri için ödeme yaptıktan sonra bunu fark etti.
Yanlış iddialarından dolayı CallPhantom adını verdiğimiz bu sahte uygulamalar, herhangi bir telefon numarasının arama geçmişine, SMS kayıtlarına ve hatta WhatsApp arama kayıtlarına erişim sağladığını iddia ediyor. Bu sözde özelliği etkinleştirmek için kullanıcılardan ödeme yapmaları isteniyor ancak karşılığında aldıkları tek şey rastgele oluşturulmuş veriler.
Araştırmamızda, Google Play Store’da bulunan ve toplamda 7,3 milyondan fazla kez indirilmiş 28 adet bu tür sahte uygulama tespit ettik. App Defense Alliance ortağı olarak, bulgularımızı Google’a bildirdik ve Google, bu raporda belirtilen tüm uygulamaları Google Play’den kaldırdı.
Bu blog yazısının ana noktaları:
- Yeni bir Android dolandırıcılığı olan CallPhantom, ödeme karşılığında herhangi bir telefon numarasının arama kayıtlarına, SMS kayıtlarına ve WhatsApp arama geçmişine erişim sağladığını iddia ediyor.
- Google Play’de toplamda 7,3 milyondan fazla kez indirilmiş 28 CallPhantom uygulamasını tespit edip bildirdik.
- Bazı CallPhantom uygulamaları, Google Play’in resmî faturalandırma sistemini atlatarak kurbanların para iadesi alma çabalarını zorlaştırıyor.
Araştırma
Kasım 2025’te, Google Play’de bulunan Call History of Any Number adlı bir uygulamayı tartışan bir Reddit gönderisine rastladık. Şekil 1 ‘de gösterilen uygulama, kullanıcı tarafından sağlanan herhangi bir telefon numarasının arama geçmişini alabileceğini iddia ediyor. Uygulama, Indian gov.in geliştirici adı altında yayımlanmıştı ancak uygulamanın Hindistan hükümeti ile gerçek bir bağlantısı yoktu.
Şekil1 . Google Play’deki Call History of Any Number uygulaması
Beklendiği gibi, analizimiz bu uygulama tarafından sağlanan “arama geçmişi” verilerinin tamamen uydurma olduğunu gösterdi – uygulama rastgele telefon numaraları oluşturur ve bunları, Şekil 2 ‘de gösterildiği gibi, doğrudan koda gömülü olan sabit isimler, arama saatleri ve arama süreleriyle eşleştirir. Bu sahte veriler daha sonra kurbanlara sunulur – ancak yalnızca ödeme yapıldıktan sonra.
Şekil2 . Uygulama tarafından kullanılan sabit kodlanmış arama günlüğü verileri
Uygulamanın işlevselliğini göstermek amacıyla uydurma arama geçmişi verilerinin bir ekran görüntüsü bile uygulamanın tanıtım sayfasına eklenmişti; bu durum Şekil 3 adresinde görülebilir.
Şekil3 . Google Play’den alınan ve sahte uygulamanın işlevselliğini gösterir gibi görünen ekran görüntüleri; günlükler, sabit kodlanmış verilerden rastgele oluşturulmuştur
Daha fazla araştırma, Play Store’da bulunan ek ve ilgili uygulamaları ortaya çıkardı – toplamda 28 CallPhantom uygulaması. Sahte uygulamaların tamamını 16 Aralık 2025 tarihinde Google’a bildirdik. Yayımlandığı tarihte, bildirilen tüm uygulamalar mağazadan kaldırılmıştı.
Şekil 4 ve Şekil 5 adreslerinde görülebilen görsel farklılıklara rağmen uygulamaların amacı aynıdır: Sahte iletişim verileri oluşturmak ve kurbanlardan erişim ücreti almak. Analyzed CallPhantom apps bölümündeki tablo, her uygulamayı indirme sayısı da dâhil olmak üzere temel ayrıntılarıyla birlikte listelemektedir.
Şekil4 . Play Store’da bulunan CallPhantom uygulamalarına örnekler
Şekil5 . CallPhantom başlangıç ekranlarına örnekler
Kampanyaya genel bakış
Google Play’de tespit ettiğimiz CallPhantom uygulamaları, ağırlıklı olarak Hindistan’daki ve daha geniş Asya-Pasifik bölgesindeki Android kullanıcılarını hedef alıyordu. Bu uygulamaların çoğunda Hindistan’ın +91 ülke kodu önceden seçili olarak geliyordu ve esas olarak Hindistan’da kullanılan bir ödeme sistemi olan UPI’yi destekliyordu.
Uygulamalar çok sayıda olumsuz yorum almıştı; mağdurlar dolandırıldıklarını ve vaat edilen verileri hiç almadıklarını bildirmişlerdi. Bu durum Şekil 6 adresinde görülebilir.
Şekil6 . Sahte uygulamalardan biri için olumsuz yorumlar
Uygulamaların nasıl dağıtıldığı veya tanıtıldığı belli değildir. Muhtemelen, özel bilgilere erişim sağlıyormuş gibi görünerek dolandırıcılar, insanların merakını başarıyla istismar etmiştir. Birkaç övgü dolu (sahte) yorumla birleştiğinde bu teklif ilgi çekici görünebilirdi.
CALLPHANTOM
Araştırmamızda, bu sahte uygulamaların iki ana grubunu belirledik.
Şekil 7‘de gösterildiği gibi, ilk gruptaki uygulamaların kodlarında sabit kodlanmış isimler, ülke kodları ve şablonlar bulunmaktadır. Bunlar rastgele oluşturulan telefon numaralarıyla birleştirilerek kullanıcıya kısmi “sonuçlar” olarak gösterilir. Tam (sahte) geçmişi görüntülemek için kurbanın ödeme yapması gerekir.
Şekil7 . Mesajları oluşturmaktan sorumlu kod
İkinci gruptaki uygulamalar, Şekil 8 adresindeki ekran görüntülerinde görüldüğü gibi, kullanıcılardan “geri getirilen” arama geçmişinin gönderileceği bir e-posta adresi girmelerini ister. Ödeme yapılana kadar veri oluşturma işlemi gerçekleşmez; kullanıcıların, e-postanın gönderilebilmesi için ödeme yapması veya abone olması gerekir.
Şekil8 . CallPhantom, arama kayıtlarının sözde gönderileceği kullanıcının e-posta adresini ister
Genel olarak, CallPhantom uygulamaları basit bir kullanıcı arayüzüne sahiptir ve rahatsız edici veya hassas izinler talep etmez – buna gerek yoktur. Tesadüfen, bu uygulamalar gerçek arama, SMS veya WhatsApp verilerini alabilecek herhangi bir işlev içermez.
Analiz ettiğimiz CallPhantom uygulamalarında üç farklı ödeme yöntemi kullanıldığını gördük; bunlardan son ikisi Google Play’in ödeme politikasını ihlal ediyor.
İlk olarak, bazı uygulamalar Google Play’in resmî faturalandırma sistemi üzerinden aboneliklere dayanıyordu. Bu, Google Play’in ödeme politikasına göre uygulama içi satın alımlar sunan uygulamalar için zorunludur; bu tür satın alımlar Google’ın geri ödeme koruması kapsamındadır.
İkincisi, bazı uygulamalar UPI’yi destekleyen üçüncü taraf uygulamalar aracılığıyla yapılan ödemelere dayanıyordu. Bu üçüncü taraf ödeme uygulamaları için CallPhantom uygulamaları ya sabit kodlanmış URL’ler içeriyordu ya da URL’leri Firebase gerçek zamanlı veri tabanından dinamik olarak alıyordu; bu da ödeme hesabının operatör tarafından herhangi bir zamanda değiştirilebileceği anlamına geliyordu.
Üçüncüsü, bazı durumlarda ödeme kartı ödeme formları doğrudan CallPhantom uygulamalarına dâhil edilmişti.
Ödeme yöntemlerine ilişkin örnekler Şekil 9 adresinde görülebilir.
Şekil9 . CallPhantom uygulamaları tarafından kullanılan çeşitli ödeme seçenekleri
Bir vakada, kullanıcıyı ödeme yapmaya ikna etmek için kullanılan ek bir taktik gözlemledik: Kullanıcı ödeme yapmadan uygulamadan çıkarsa uygulama, arama geçmişi sonuçlarının geldiğini iddia eden yeni e-postalar şeklinde aldatıcı uyarılar görüntülüyordu – bkz. Şekil 10. Bildirime tıklandığında doğrudan abonelik ekranına yönlendiriliyordu.
Şekil10 . Kullanıcıları aboneliğe ikna etmek için CallPhantom tarafından görüntülenen aldatıcı bildirim
Sahte hizmet için talep edilen ücretler, uygulamalar arasında büyük farklılıklar gösteriyor. Uygulamalar ayrıca haftalık, aylık veya yıllık hizmetler gibi farklı abonelik paketleri sunuyor gibi görünüyor; talep edilen en yüksek fiyat ise 80 ABD doları. En düşük “abonelik kademesi” için talep edilen ortalama fiyat ise 5 avro.
Dolandırıldıysanız ne yapmalısınız?
Genel olarak, resmî Google Play faturalandırma sistemi üzerinden satın alınan abonelikler, Play Store uygulamasında profil simgenize dokunup Ödemeler ve abonelikler → Abonelikler bölümüne giderek, aktif aboneliği seçip Aboneliği iptal et seçeneğine dokunarak iptal edilebilir. Google, Google Play’de aboneliği iptal etme, duraklatma veya değiştirme sayfasında tüm süreci açıklamaktadır.
Bu blog yazısında anlatılan 28 uygulama için uygulamalar Google Play’den kaldırıldığında mevcut abonelikler iptal edilmiştir.
Bazı durumlarda, Google Play satın alımları için geri ödeme yapılabilir. Google, satın alımdan bu yana geçen süreye, ürün türüne ve geri ödeme politikasına bağlı olarak geri ödeme yapabilir. Genel olarak, talepler Google’ın destek sayfasında açıklanan izin verilen geri ödeme süresi içinde yapılmalıdır.
Satın alma işlemi Google Play dışında gerçekleştirildiyse (örneğin, uygulama içinde ödeme kartı bilgileri girilerek veya üçüncü taraf hizmetler aracılığıyla ödeme yapılarak), Google aboneliği iptal edemez veya geri ödeme yapamaz ve kullanıcıların ödeme sağlayıcısına veya uygulama geliştiricisine doğrudan başvurması gerekir.
Sonuç
Google Play’de, ESET’in bildirimi üzerine kaldırılmadan önce toplamda 7,3 milyondan fazla indirilen yeni bir sahte Android uygulamaları grubu tespit ettik. Topluca CallPhantom olarak adlandırdığımız bu uygulamalar, herhangi bir telefon numarasının arama kayıtlarını, SMS kayıtlarını ve WhatsApp arama geçmişini geri getireceği yönünde sahte vaatlerde bulunuyor. Bu, teknik olarak imkânsız olan ve yalnızca insanların merakını sömürmek ve onları ödeme yapmaya yönlendirmek için tasarlanmış bir iddiadır.
Uygulamaların çoğu, Google Play’in resmî faturalandırma sistemini atlatarak kullanıcıları üçüncü taraf ödemelere veya doğrudan kart girişine yönlendiriyor, bu da geri ödeme çabalarını zorlaştırıyor ve kurbanları finansal riske maruz bırakıyor.
Analizimiz, kurbanlara gösterilen “sonuçların” tamamen uydurma olduğunu ortaya çıkardı; bu sonuçlarda genellikle sabit kodlanmış Hint numaraları, önceden tanımlanmış isimler ve gerçek iletişim verileri gibi gösterilen oluşturulmuş zaman damgaları kullanılıyordu.
Resmî Google Play faturalandırma sistemi üzerinden abonelik satın alan kullanıcılar, Google’ın iade politikaları kapsamında iade almaya hak kazanabilir. Üçüncü taraf ödeme uygulamaları veya doğrudan kredi kartı girişi yoluyla yapılan satın alımlar Google tarafından iade edilemez; bu durumda kullanıcılar harici ödeme sağlayıcılarına veya geliştiricilere bağımlı kalır.
Analiz edilen CallPhantom uygulamaları
| App name | Package name | Number of downloads |
| Call history : any number deta | calldetaila.ndcallhisto.rytogetan.ynumber | 3M+ |
| Call History of Any Number | com.pixelxinnovation.manager | 1M+ |
| Call Details of Any Number | com.app.call.detail.history | 1M+ |
| Call History Any Number Detail | sc.call.ofany.mobiledetail | 500K+ |
| Call History Any Number Detail | com.cddhaduk.callerid.block.contact | 500K+ |
| Call History Of Any Number | com.basehistory.historydownloading | 500K+ |
| Call History of Any Numbers | com.call.of.any.number | 100K+ |
| Call History Of Any Number | com.rajni.callhistory | 100K+ |
| Call History Any Number Detail | com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager | 100K+ |
| Call History Any Number Detail | com.callinformative.instantcallhistory.callhistorybluethem.callinfo | 100K+ |
| Call History Any Number detail | com.call.detail.caller.history | 100K+ |
| Call History Any Number Detail | com.anycallinformation.datadetailswho.callinfo.numberfinder | 100K+ |
| Call History Any Number Detail | com.callhistory.callhistoryyourgf | 100K+ |
| Call History Any Number | com.calldetails.smshistory.callhistoryofanynumber | 50K+ |
| Call History Any Number Detail | com.callhistory.anynumber.chapfvor.history | 50K+ |
| Call History of Any Number | com.callhistory.callhistoryany.call | 50K+ |
| Call History Any Number Detail | com.name.factor | 50K+ |
| Call History Of Any Number | com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber | 50K+ |
| Call History Of Any Number | com.chdev.callhistory | 10K+ |
| Phone Call History Tracker | com.phone.call.history.tracker | 10K+ |
| Call History- Any Number Deta | com.pdf.maker.pdfreader.pdfscanner | 10K+ |
| Call History Of Any Number | com.any.numbers.calls.history | 10K+ |
| Call History Any Number Detail | com.callapp.historyero | 1K+ |
| Call History – Any Number Data | all.callhistory.detail | 500+ |
| Call History For Any Number | com.easyranktools.callhistoryforanynumber | 100+ |
| Call History of Numbers | com.sbpinfotech.findlocationofanynumber | 100+ |
| Call History of Any Number | callhistoryeditor.callhistory.numberdetails.calleridlocator | 50+ |
| Call History Pro | com.all_historydownload.anynumber.callhistorybackup | 50+ |
IOC’ler
Kapsamlı bir tehlike göstergeleri (IoC) listesi ve örnekler GitHub depomuzda bulunabilir.
Dosyalar
| SHA-1 | Filename | Detection | Description |
| 799BB5127CA54239D3D4A14367DB3B712012CF14 | all.callhistory.detail.apk | Android/CallPhantom.K | Android CallPhantom. |
| 56A4FD71D1E4BBA2C5C240BE0D794DCFF709D9EB | calldetaila.ndcallhisto.rytogetan.ynumber.apk | Android/CallPhantom.M | Android CallPhantom. |
| EC5E470753E76614CD28ECF6A3591F08770B7215 | callhistoryeditor.callhistory.numberdetails.calleridlocator.apk | Android/CallPhantom.F | Android CallPhantom. |
| 77C8B7BEC79E7D9AE0D0C02DEC4E9AC510429AD8 | com.all_historydownload.anynumber.callhistorybackup.apk | Android/CallPhantom.G | Android CallPhantom. |
| 9484EFD4C19969F57AFB0C21E6E1A4249C209305 | com.any.numbers.calls.history.apk | Android/CallPhantom.L | Android CallPhantom. |
| CE97CA7FEECDCAFC6B8E9BD83A370DFA5C336C0A | com.anycallinformation.datadetailswho.callinfo.numberfinder.xapk | Android/CallPhantom.B | Android CallPhantom. |
| FC3BA2EDAC0BB9801F8535E36F0BCC49ADA5FA5A | com.app.call.detail.history.apk | Android/CallPhantom.N | Android CallPhantom. |
| B7B80FA34A41E3259E377C0D843643FF736803B8 | com.basehistory.historydownloading.xapk | Android/CallPhantom.O | Android CallPhantom. |
| F0A8EBD7C4179636BE752ECCFC6BD9E4CD5C7F2C | com.call.detail.caller.history.xapk | Android/CallPhantom.C | Android CallPhantom. |
| D021E7A0CF45EECC7EE8F57149138725DC77DC9A | com.call.of.any.number.apk | Android/CallPhantom.Q | Android CallPhantom. |
| 04D2221967FFC4312AFDC9B06A0B923BF3579E93 | com.callapp.historyero.apk | Android/CallPhantom.E | Android CallPhantom. |
| CB31ED027FADBFA3BFFDBC8A84EE1A48A0B7C11D | com.calldetails.smshistory.callhistoryofanynumber.apk | Android/CallPhantom.Q | Android CallPhantom. |
| C840A85B5FBAF1ED3E0F18A10A6520B337A94D4C | com.callhistory.anynumber.chapfvor.history.xapk | Android/CallPhantom.J | Android CallPhantom. |
| BB6260CA856C37885BF9E952CA3D7E95398DDABF | com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager.apk | Android/CallPhantom.S | Android CallPhantom. |
| 55D46813047E98879901FD2416A23ACF8D8828F5 | com.callhistory.callhistoryany.call.apk | Android/CallPhantom.T | Android CallPhantom. |
| E23D3905443CDBF4F1B9CA84A6FF250B6D89E093 | com.callhistory.callhistoryyourgf.apk | Android/CallPhantom.D | Android CallPhantom. |
| 89ECEC01CCB15FCDD2F64E07D0E876A9E79DD3CE | com.callinformative.instantcallhistory.callhistorybluethem.callinfo.xapk | Android/CallPhantom.B | Android CallPhantom. |
| 8EC557302145B40FE0898105752FFF5E357D7AC9 | com.cddhaduk.callerid.block.contact.xapk | Android/CallPhantom.U | Android CallPhantom. |
| 6F72FF58A67EF7AAA79CE2342012326C7B46429D | com.easyranktools.callhistoryforanynumber.apk | Android/CallPhantom.H | Android CallPhantom. |
| 28D3F36BD43D48F02C5058EDD1509E4488112154 | com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber.xapk | Android/CallPhantom.D | Android CallPhantom. |
| 47CEE9DED41B953A84FC9F6ED556EC3AF5BD9345 | com.chdev.callhistory.xapk | Android/CallPhantom.V | Android CallPhantom. |
| 9199A376B433F888AFE962C9BBD991622E8D39F9 | com.name.factor.apk | Android/CallPhantom.P | Android CallPhantom. |
| 053A6A723FA2BFDA8A1B113E8A98DD04C6EEF72A | com.pdf.maker.pdfreader.pdfscanner.apk | Android/CallPhantom.W | Android CallPhantom. |
| 4B537A7152179BBA19D63C9EF287F1AC366AB5CB | com.phone.call.history.tracker.apk | Android/CallPhantom.I | Android CallPhantom. |
| 87F6B2DB155192692BAD1F26F6AEBB04DBF23AAD | com.pixelxinnovation.manager.apk | Android/CallPhantom.X | Android CallPhantom. |
| 583D0E7113795C7D68686D37CE7A41535CF56960 | com.rajni.callhistory.apk | Android/CallPhantom.Y | Android CallPhantom. |
| 45D04E06D8B329A01E680539D798DD3AE68904DA | com.sbpinfotech.findlocationofanynumber.xapk | Android/CallPhantom.A | Android CallPhantom. |
| 34393950A950F5651F3F7811B815B5A21F84A84B | sc.call.ofany.mobiledetail.apk | Android/CallPhantom.Z | Android CallPhantom. |
Network
| IP | Domain | Hosting provider | First seen | Details |
| 34.120.160[.]131 | call-history-7cda4-default-rtdb.firebaseio[.]comcall-history-ecc1e-default-rtdb.firebaseio[.]com | Google LLC | 2025-05-14 | CallPhantom C&C server. |
| 34.120.206[.]254 | ch-ap-4-default-rtdb.firebaseio[.]comchh1-ac0a3-default-rtdb.firebaseio[.]com | Google LLC | 2025-04-17 | CallPhantom C&C server. |
MITRE ATT&CK teknikleri
Bu tablo, MITRE ATT&CK çerçevesinin 18. sürümü kullanılarak oluşturulmuştur.
Güçlü bir parola oluşturmak güvenliğin ilk adımıdır
