Badacze z ESET ujawnili, że aż 28 takich aplikacji trafiło do sklepu Google Play, generując ponad 7,3 miliona pobrań. Ta historia jest jednocześnie absurdalna, zabawna i trochę przerażająca, jednak nie dlatego, że tyle osób zostało oszukanych, a dlatego, że miliony chciały wykorzystać te apki do szpiegowania innych.
Mechanizm był banalny. I najwyraźniej bardzo skuteczny
Aplikacje działały praktycznie według tego samego scenariusza. Użytkownik wpisywał numer telefonu osoby, którą chciał „śledzić”, aplikacja udawała analizowanie danych, po chwili wyświetlała informację o rzekomo znalezionych wiadomościach lub historii połączeń, a następnie żądała opłaty za odblokowanie wyników. Brzmi jak tani scam z 2012 roku? Trochę tak, a mimo to miliony ludzi dały się na to nabrać.
Najgorsze — a raczej najlepsze — jest jednak to, że aplikacje wcale nie potrafiły włamywać się na cudze konta. Nie potrzebowały nawet specjalnych uprawnień. Po prostu generowały fałszywe dane lub losowe wpisy, czasem wykorzystując zaszyte w kodzie bazy numerów i nazwisk. Czyli użytkownicy płacili za kompletnie zmyślone „dowody”.
Oszuści bardzo dobrze rozumieją ludzką ciekawość
To, co najbardziej rzuca się tutaj w oczy, to fakt, że cały scam działał właściwie dzięki jednej rzeczy: ludzkiej ciekawości. Bo nie oszukujmy się — większość osób nie instalowała tych aplikacji „dla żartu”. Ludzie naprawdę wierzyli, że istnieje magiczny przycisk pozwalający czytać cudze wiadomości. Właśnie dlatego takie oszustwa są tak skuteczne. Hakerzy od dawna wiedzą, że najlepszą metodą manipulacji nie jest sama technologia, ale emocje — zazdrość, ciekawość, strach czy zwykła potrzeba kontrolowania innych ludzi. W praktyce CallPhantom bardziej „hakował” ludzką psychikę niż telefony.
Twórcy aplikacji bardzo dobrze wiedzieli też, jak zatrzymać użytkownika przy ekranie płatności. Niektóre programy omijały oficjalny system Google Play i kierowały ludzi do zewnętrznych formularzy płatniczych. Inne wyświetlały fałszywe powiadomienia stylizowane na wiadomości e-mail, sugerując, że „wyniki właśnie dotarły”, by skłonić użytkownika do powrotu i zapłaty.
Czytaj też: Google daje mi więcej prywatności w Chrome, ale nadal na własnych zasadach
Cała sprawa jest też kolejnym ciosem dla Google Play. Teoretycznie oficjalny sklep giganta powinien być najbezpieczniejszym miejscem do pobierania aplikacji na Androida. Tymczasem 28 aplikacji scamowych zdołało zdobyć ponad 7 milionów pobrań, zanim zostały usunięte po zgłoszeniu przez ESET. Niestety nie jest to pierwszy taki przypadek. Google od lat walczy z fałszywymi aplikacjami, malwarem i scamami żerującymi na niewiedzy użytkowników. Problem w tym, że oszuści coraz lepiej rozumieją, jak obchodzić systemy weryfikacji — zwłaszcza gdy aplikacja technicznie nie robi nic „niebezpiecznego”, a całe oszustwo opiera się głównie na manipulacji.
Trochę trudno współczuć… ale problem nadal jest poważny
Nie ukrywam — jest w tej historii pewna ironia. Ludzie próbowali naruszać cudzą prywatność, a finalnie sami zostali wykorzystani. Trudno więc mówić tutaj o całkowicie niewinnych ofiarach. Z drugiej strony skala zjawiska pokazuje coś dużo bardziej niepokojącego: jak łatwo internet nadal sprzedaje ludziom iluzję „sekretnego dostępu” do cudzego życia.
Czytaj też: Bezpieczeństwo czy nadzór? Państwo chce większego wglądu w ruch internetowy
I chyba właśnie to jest w tym wszystkim najciekawsze. Nie sam scam, ale fakt, że w 2026 roku miliony osób nadal wierzą, że istnieją aplikacje pozwalające legalnie i bez wysiłku czytać cudze wiadomości. Prawda z kolei jest dużo mniej ekscytująca: jeśli jakaś aplikacja obiecuje dostęp do prywatnych rozmów drugiej osoby, to bardzo możliwe, że jedyną osobą, którą ktoś właśnie próbuje prześwietlić… jesteś ty.
Źródło: WeLiveSecurity
