Thought Leadership
Über 7 Millionen Nutzer fielen auf die Scamware CallPhantom im Google Play Store herein. Die Apps versprachen Zugriff auf fremde Anrufdaten.
Eine großflächige Betrugskampagne im Google Play Store hat das Vertrauen von über sieben Millionen Android-Nutzern weltweit missbraucht. Sicherheitsanalysten des slowakischen Unternehmens ESET identifizierten insgesamt 28 Applikationen, die unter dem Namen „CallPhantom“ zusammengefasst werden. Diese Anwendungen versprachen den Zugriff auf Anruflisten, SMS-Protokolle und WhatsApp-Daten jeder beliebigen Telefonnummer. Die technische Prüfung ergab jedoch, dass die versprochenen Funktionen technisch nicht existent waren und die gelieferten Daten vollständig auf Zufallsgeneratoren basierten. Google hat die betroffenen Anwendungen nach der Benachrichtigung durch die Forscher aus dem offiziellen Store entfernt.
Psychologische Manipulation durch unmögliche Versprechen
Der Erfolg der CallPhantom-Kampagne beruht auf einem gezielten Angriff auf die menschliche Neugier und dem Wunsch nach Überwachungsmöglichkeiten. Die App-Entwickler warben damit, private Informationen Dritter ohne deren Wissen offenlegen zu können. Das war ein Versprechen, das aufgrund geltender Sicherheitsarchitekturen von Android und Verschlüsselungsstandards wie bei WhatsApp technisch für eine einfache App nicht umsetzbar ist.
Die Anwendungen präsentierten sich mit einer schlichten Benutzeroberfläche, die Seriosität und Effizienz suggerieren sollte. Um das Vertrauen der Nutzer weiter zu stärken, wurden oft gefälschte Identitäten genutzt. Eine der am häufigsten heruntergeladenen Apps wurde unter dem Entwicklernamen „Indian gov.in“ veröffentlicht, was eine offizielle Legitimation durch die indische Regierung vortäuschte. Diese Strategie führte dazu, dass allein diese Anwendung über drei Millionen Installationen verzeichnete.
Algorithmen erzeugen fiktive Kommunikationsprotokolle
Die technische Analyse durch ESET-Sicherheitsforscher wie Lukas Stefanko bestätigte, dass der Code der Anwendungen keinerlei Schnittstellen zu tatsächlichen Kommunikationsnetzwerken oder Datenbanken von Messenger-Diensten besaß. Stattdessen nutzten die Apps einfache Algorithmen, um fiktive Daten zu generieren.
Sobald ein Nutzer eine Zielnummer in die App eingab, startete eine grafische Animation, die einen Suchvorgang oder einen Hacking-Angriff simulierte. Das Ergebnis dieses Prozesses war eine Liste von Telefonnummern, Namen, Anrufzeiten und Gesprächsdauern, die jedoch allesamt im Quellcode der App durch Zufallszahlen erzeugt wurden. Da die Anwendungen keine echten Systemdaten vom Gerät des Nutzers oder von Servern abfragten, benötigten sie keine verdächtigen Berechtigungen wie den Zugriff auf Kontakte oder Standortdaten. Dies ermöglichte es ihnen, die automatisierten Sicherheitsprüfungen des Google Play Stores über einen langen Zeitraum zu umgehen.
Monetarisierung durch Umgehung der Google-Abrechnung
Die Betreiber der CallPhantom-Apps zielten primär auf den finanziellen Profit ab. Die vermeintlichen Ergebnisse der Datenabfrage wurden erst nach dem Abschluss eines Abonnements sichtbar geschaltet. Dabei variierten die Preise erheblich: Während einfache Wochenpläne für durchschnittlich 5,90 Euro angeboten wurden, verlangten einige Apps für einen dauerhaften Zugriff bis zu 80 US-Dollar.
Ein markantes Merkmal dieser Kampagne war die Umgehung des offiziellen Google Play Billing-Systems. Viele Apps leiteten die Nutzer auf externe Zahlungsdienste oder forderten die Verwendung von Drittanbieter-Anwendungen auf, die das Unified Payments Interface (UPI), ein in Indien dominantes Zahlungssystem, unterstützen. Durch diese Praxis entzogen die Betrüger die Transaktionen der Aufsicht von Google, was es den Opfern nahezu unmöglich machte, im Betrugsfall eine Rückerstattung über den offiziellen Support zu erhalten.
Gefälschte Rezensionen im Google Play Store
Der geografische Schwerpunkt der Kampagne lag deutlich im asiatisch-pazifischen Raum, mit einer besonders hohen Betroffenenrate in Indien. Um die Beschwerden echter Nutzer in den Kommentarspalten zu übertönen, setzten die Hintermänner auf eine Armee von Bot-Accounts, die die Anwendungen mit 5-Sterne-Bewertungen und begeisterten Kommentaren versahen.
Trotz dieser Bemühungen häuften sich die Meldungen enttäuschter Anwender, die nach der Zahlung feststellen mussten, dass die gelieferten Namen und Nummern absolut nichts mit der Realität zu tun hatten. ESET weist darauf hin, dass viele Opfer den Betrug nicht meldeten, da der Versuch, die Privatsphäre anderer auszuspionieren, oft mit Scham besetzt ist. Das ist ein Umstand, den Cyberkriminelle bei der Entwicklung von Scamware gezielt einkalkulieren.
Schutzmaßnahmen gegen mobile Scamware
Der Fall CallPhantom verdeutlicht die Gefahr von Scamware, die im Gegensatz zu klassischer Malware keine technischen Schwachstellen ausnutzt, sondern auf psychologische Defizite der Anwender setzt. Für die Sicherheit im mobilen Alltag ergeben sich daraus klare Handlungsempfehlungen:
- Skepsis gegenüber „Wunder-Funktionen“: Anwendungen, die den Zugriff auf verschlüsselte Daten Dritter oder private Anruflisten versprechen, sind grundsätzlich als betrügerisch einzustufen.
- Prüfung der Zahlungswege: Jede Aufforderung, digitale Güter innerhalb einer App über externe Dienste oder direkte Geldtransfers (wie UPI) zu bezahlen, ist ein dringendes Warnsignal.
- Entwickler-Check: Nutzer sollten prüfen, ob der angegebene Entwicklername plausibel ist. Offizielle Regierungs-Apps werden niemals unter kryptischen oder irreführenden Namen wie „Indian gov.in“ ohne verifizierten Status veröffentlicht.
- Bewertungen kritisch lesen: Ein Blick auf die 1-Sterne-Bewertungen liefert oft ein realistischeres Bild der Funktionalität als die durch Bots generierten Höchstwertungen.
Google hat nach der Intervention von ESET alle 28 identifizierten Anwendungen gelöscht. Dennoch bleibt die Gefahr bestehen, dass ähnliche Klone unter neuen Identitäten auf die Plattform zurückkehren. Ein kritisches Nutzerverhalten ist daher der effektivste Schutz gegen automatisierte Betrugsmodelle.
