Aplicativos de perseguição falsa acumularam milhões de downloads. Isso diz muito sobre a segurança do Google e sobre nós.

Não existe nenhum aplicativo que permita acessar o histórico de chamadas de outra pessoa. Nunca existiu e quase certamente nunca existirá — as operadoras não divulgam esses dados e nenhum desenvolvedor terceirizado tem o acesso necessário para obtê-los. Isso não é uma área cinzenta; simplesmente não é possível. Mesmo assim, 7,3 milhões de pessoas, segundo a Welive Security, baixaram aplicativos que alegavam fazer exatamente isso.

Pesquisadores de segurança da ESET passaram meses desvendando uma extensa família de 28 aplicativos fraudulentos para Android, que apelidaram coletivamente de CallPhantom — aplicativos que prometiam aos usuários acesso à atividade telefônica de qualquer pessoa: registros de chamadas, mensagens SMS e até mesmo o histórico do WhatsApp. Bastava inserir um número, pagar uma pequena taxa e os segredos da pessoa pesquisada supostamente seriam revelados. O que, na realidade, era ficção — números de telefone aleatórios com nomes e horários predefinidos, gerados pelo próprio aplicativo, projetados para parecerem suficientemente convincentes para serem reais. A vantagem era que os usuários só viam esses dados falsos depois de já terem pago. Essa sequência não era acidental.

A Google Play Store tinha um ponto cego grave aqui.

Todos os 28 aplicativos permaneceram na Google Play Store tempo suficiente para acumular milhões de downloads. Um deles foi publicado sob o nome "Indian gov.in", um pseudônimo de desenvolvedor que insinuava legitimidade governamental, algo que não tinha o direito de reivindicar. Vários tinham seções de avaliações repletas de usuários relatando explicitamente terem sido vítimas de golpes, e esses alertas coexistiam com grupos de avaliações de cinco estrelas suspeitamente entusiasmadas, que mantinham as classificações aparentemente respeitáveis.

A ESET alertou o Google sobre o conjunto completo de aplicativos em dezembro de 2025, e eles foram removidos. Mas a remoção ocorreu devido a um relatório externo, e não por uma detecção indevida do próprio Google. Para uma plataforma que investiu pesadamente em detecção automatizada de ameaças e na estrutura da App Defense Alliance, permitir que 28 variantes do mesmo golpe — todas prometendo o mesmo recurso tecnicamente impossível — acumulem milhões de downloads é uma falha significativa.

Alguns aplicativos pioraram a situação ao contornar completamente a infraestrutura de pagamentos do Google, direcionando os usuários para transações UPI de terceiros ou para campos de entrada de cartão incorporados diretamente no aplicativo. Isso viola a política da Play Store, mas também significa que o Google não pode reembolsar esses usuários. Quem pagou fora do sistema de cobrança oficial precisa entrar em contato com o provedor de pagamento ou com os desenvolvedores, que, obviamente, não estão muito dispostos a ajudar.

Os aplicativos funcionaram porque a proposta era irresistível.

A parte mais incômoda dessa história é o que motivou os 7,3 milhões de downloads em primeiro lugar. Esses aplicativos não ofereciam armazenamento em nuvem ou uma nova maneira de editar fotos. Eles ofereciam algo que as pessoas realmente desejavam a ponto de pagar por isso: a capacidade de espionar alguém — um parceiro, um ex, um adolescente ou um contato comercial. Seja qual for o motivo, havia claramente um público grande e disposto a comprar essa ideia.

Os aplicativos exploraram esse desejo com precisão implacável. Eles pré-selecionavam o código de país da Índia, +91, por padrão e aceitavam pagamentos via UPI, o que indica que os golpistas entendiam bem seu público-alvo. Os planos de assinatura variavam de alguns euros por semana a US$ 80 por ano, oferecendo aos usuários opções que pareciam um serviço legítimo e atendiam a diferentes necessidades. Um dos aplicativos, quando um usuário tentava sair sem pagar, enviava uma notificação push falsa, formatada para parecer um e-mail recém-chegado com os resultados — um último empurrão que levava o usuário de volta ao paywall.

Funcionou porque a curiosidade é uma força poderosa, e os aplicativos foram desenvolvidos por pessoas que entendiam isso. Remova a estrutura técnica e o que resta é um golpe muito antigo: cobrar de alguém por algo que essa pessoa deseja desesperadamente, entregar algo que parece plausível e não oferecer nada em troca, contando com o constrangimento para evitar reclamações.

Para quem estiver enfrentando esse problema, as assinaturas processadas pelo sistema oficial do Google Play podem ser canceladas — e possivelmente reembolsadas — nas configurações de pagamento da Play Store. Qualquer outra questão envolve uma conversa mais complexa com quem processou o pagamento.