Google Play Store : 28 applications Android piègent 7 millions d’utilisateurs

L’agence de sécurité ESET révèle l’existence de 28 applications frauduleuses sur le magasin officiel de Google, ayant causé un préjudice massif à des millions de victimes.

La sécurité sur smartphone fait face à un défi de taille en ce mois de mai 2026. Une enquête menée par les experts de la firme ESET a mis au jour une vaste campagne d’escroquerie au sein du Google Play Store. Ce réseau d’applications malveillantes, baptisé « CallPhantom », a réussi à tromper plus de 7,3 millions d’utilisateurs à travers le monde. Ces programmes promettaient un accès illégal à des données privées en échange d’un paiement financier. Toutefois, les promesses de ces développeurs n’étaient que de pures inventions techniques.

L’affaire débute par une curiosité mal placée de la part des victimes. Les applications en question affirmaient pouvoir fournir l’historique des appels, les SMS ou encore les journaux d’appels WhatsApp de n’importe quel numéro de téléphone. Cette promesse, bien qu’irréaliste sur le plan technique, a suscité l’intérêt de millions de curieux. De fait, les escrocs ont exploité ce ressort psychologique avec force pour générer des profits illicites. Cet article analyse sans détour les rouages de cette fraude et les moyens de s’en prémunir.

CallPhantom : une vaste escroquerie au cœur du Play Store

Le nom de cette menace provient des fausses promesses qu’elle véhiculait. Les chercheurs d’ESET ont identifié 28 logiciels distincts partageant le même code source malveillant. Malgré des noms de développeurs différents, ces outils possédaient une interface et une logique de fonctionnement identiques. L’objectif était clair : obtenir de l’argent contre des informations inexistantes. Par conséquent, les victimes se retrouvaient avec des pertes financières sèches sans aucun service en retour.

Le volume de téléchargements donne le vertige. Avec plus de sept millions d’installations, cette campagne se place parmi les plus vastes fraudes de l’année. Les applications utilisaient des captures d’écran truquées pour prouver leur efficacité. En réalité, elles n’avaient aucune capacité technique pour accéder aux serveurs de WhatsApp ou aux bases de données des opérateurs télécoms. Ce manque de fonctionnalité réelle n’a pourtant pas empêché leur prolifération sur la plateforme officielle de Google.

L’alerte a été donnée par un membre de la communauté Reddit fin 2025. Ce dernier avait remarqué des comportements suspects sur une application nommée « Call History of Any Number ». À la suite de ce signalement, ESET a entamé une analyse en profondeur. Cette recherche a permis de découvrir que le développeur utilisait abusivement le nom du gouvernement indien pour gagner en crédibilité. Une fois de plus, l’usurpation d’identité institutionnelle s’avère être une arme redoutable pour les cybercriminels.

Le mode opératoire : la vente de données fictives

Le fonctionnement de ces applications repose sur une supercherie technique simple mais efficace. Une fois le logiciel installé, l’utilisateur doit entrer le numéro de téléphone qu’il souhaite espionner. L’application affiche alors une barre de progression pour simuler une recherche intensive de données. Par la suite, elle présente un échantillon de résultats floutés pour inciter à l’achat. De fait, cette mise en scène vise à créer un sentiment d’urgence et de réussite chez l’internaute.

Pour débloquer l’accès complet, les victimes devaient souscrire à un abonnement. Les prix variaient de 5 euros à près de 80 dollars selon la durée choisie. Une fois le paiement validé, l’application générait une liste de noms et de numéros. Toutefois, l’analyse du code source par Lukáš Štefanko a révélé la vérité. Les numéros étaient créés de manière aléatoire par un algorithme interne. Les noms et les durées d’appels étaient, quant à eux, écrits en dur dans le logiciel. Ainsi, chaque utilisateur recevait des informations totalement inventées par les fraudeurs.

Cette technique permet aux escrocs d’éviter les demandes de permissions intrusives. Comme l’application ne cherche pas à voler de vraies données sur le téléphone, elle ne déclenche pas les alertes de sécurité classiques d’Android. Elle se contente d’afficher du texte stocké dans sa propre mémoire. C’est donc une ruse qui contourne les barrières habituelles de détection des malwares. La simplicité de cette méthode explique pourquoi tant de versions ont pu passer sous les radars pendant des mois.

L’Inde en première ligne : une attaque ciblée

Les données d’ESET montrent que les utilisateurs indiens ont été les cibles prioritaires de ce réseau. De nombreuses applications affichaient par défaut l’indicatif téléphonique +91 de l’Inde. De surcroît, elles intégraient le système de paiement UPI, très populaire dans cette région du monde. Cette adaptation locale prouve que les criminels connaissaient avec précision les habitudes de leur public. Le marché indien, deuxième au monde pour les smartphones, représente une mine d’or pour de tels stratèges.

L’usage du système UPI a rendu la fraude encore plus efficace. Ce mode de paiement permet des transactions rapides et faciles sans passer par les formulaires de carte bancaire classiques. De fait, la friction au moment de l’achat était réduite au minimum. Les victimes envoyaient leur argent en quelques clics, pensant obtenir un service légitime. Cette intégration technologique a permis aux fraudeurs de capter des sommes importantes avant que les premières plaintes n’arrivent aux oreilles de Google.

En plus du système UPI, certaines applications utilisaient des formulaires de paiement tiers. Cette pratique est une violation flagrante des règles du Play Store. Google impose normalement l’usage de son propre système de facturation pour les biens numériques. En contournant cette règle, les escrocs s’assuraient de recevoir les fonds sans délai de rétention. Par contre, cela a rendu la tâche des remboursements bien plus complexe pour les services de support de Google par la suite.

Les failles de paiement et le défi des remboursements

Le sort des victimes dépend en grande partie du mode de paiement utilisé. Pour les abonnements souscrits via le système officiel Google Play, la situation est plus favorable. À la suite du retrait des applications, Google a annulé les abonnements actifs de manière automatique. Dans certains cas, les sommes ont pu être restituées aux utilisateurs lésés. C’est l’un des rares avantages à rester dans le giron sécurisé de la plateforme officielle lors d’un achat.

La situation devient critique pour ceux qui ont payé par des voies détournées. Si vous avez saisi vos coordonnées bancaires dans un formulaire interne à l’application, les risques sont doubles. D’une part, l’argent est perdu car Google n’a aucun contrôle sur ces transactions. D’autre part, vos données bancaires pourraient être revendues sur le marché noir. Par conséquent, les experts conseillent de bloquer sans attendre la carte utilisée si un tel scénario se produit. Il faut donc agir avec célérité pour limiter la casse financière.

L’App Defense Alliance, dont ESET est un partenaire majeur, a joué un rôle clé dans la résolution de cette crise. Ce groupement permet un partage d’informations rapide entre les chercheurs et Google. Ainsi, dès que le rapport a été transmis le 16 décembre 2025, le retrait des applications a commencé. Toutefois, la réapparition de clones sous de nouveaux noms reste une menace constante. La vigilance humaine demeure le dernier rempart face à ces cycles de fraude perpétuels.

Comment se protéger des applications malveillantes

Pour éviter de tomber dans de tels pièges, des réflexes simples doivent être adoptés. Le premier conseil consiste à lire les avis avec attention. Dans le cas de CallPhantom, de nombreux commentaires dénonçaient déjà la fraude. Des utilisateurs expliquaient avec clarté que les numéros affichés étaient faux. Malheureusement, beaucoup d’internautes ignorent ces alertes avant de payer. De fait, prendre deux minutes pour lire les critiques peut sauver votre budget mensuel.

Le deuxième conseil porte sur la vérification du développeur. Si une application prétend être liée à un gouvernement ou à une grande entreprise mais possède une adresse email générique (type Gmail ou Outlook), méfiez-vous. Les services officiels utilisent toujours des domaines personnalisés. Aussi, soyez attentif aux permissions demandées. Si une application promet un historique d’appels sans demander l’accès à vos contacts ou à votre journal, c’est un signe majeur d’impossibilité technique.

L’application ESET Mobile Security propose une protection en temps réel contre les menaces Android. Cette option s’adresse à tous les utilisateurs soucieux de leur vie privée. Cela vous permet de détecter les comportements suspects avant même d’ouvrir un logiciel. C’est donc un atout majeur pour naviguer sur le web en toute sécurité. De surcroît, le service Google Play Protect offre une première couche de défense qu’il convient de laisser active en permanence.

L’affaire CallPhantom rappelle que la présence d’une application sur le Google Play Store n’est pas une garantie absolue de sincérité. Les escrocs font preuve d’une inventivité sans cesse renouvelée pour contourner les règles. En vendant de l’air aux curieux, ils ont réussi à amasser une fortune en un temps record. La réaction de Google et d’ESET a permis de stopper l’hémorragie, mais le mal est fait pour des millions de personnes.

Le verdict est sans appel : ne payez jamais pour obtenir des données privées d’autrui via une application tierce. Techniquement, ces informations sont protégées par des systèmes de chiffrement robustes que de simples utilitaires Android ne peuvent briser. Votre meilleure défense reste votre sens critique. Restez méfiant face aux offres trop belles pour être vraies et privilégiez les outils de sécurité reconnus pour protéger votre terminal.