Sur le Google Play Store, plusieurs applications affirmaient pouvoir retrouver les journaux d’appels, les SMS ou même les appels WhatsApp associés à n’importe quel numéro. Il suffisait de payer pour accéder aux résultats complets. Trop beau pour être vrai, donc faux.
Dans un rapport publié le 7 mai, ESET a détaillé le fonctionnement de 28 applications Android frauduleuses regroupées sous le nom de CallPhantom. Toutes ont depuis été supprimées du Google Play Store après signalement, mais elles avaient déjà cumulé plus de 7,3 millions de téléchargements. Leur méthode ne reposait pas sur un piratage complexe ni sur une collecte massive de permissions sensibles. Elle exploitait une promesse impossible, suffisamment tentante pour pousser des utilisateurs et utilisatrices à payer pour des données qui, de toute façon, n’existaient pas.
Des historiques d’appels inventés pour pousser au paiement
Les applications CallPhantom ne volaient pas les journaux d’appels, elles les inventaient. D’après ESET, aucune d’entre elles ne disposait de fonctions capables de récupérer de vrais historiques de communication, encore moins ceux d’un numéro choisi par l’utilisateur. Elles ne demandaient d’ailleurs pas de permissions particulièrement intrusives, puisqu’elles n’en avaient pas besoin. Tout reposait sur une mise en scène assez rudimentaire, mais efficace, qui consistait à faire croire qu’une recherche était en cours, afficher quelques résultats partiels ou promettre leur envoi par mail, puis réclamer un paiement pour accéder à la suite.
Une fois le règlement effectué, les prétendus résultats n’avaient rien de confidentiel, ni même de réel. Les applications s’appuyaient sur des noms, des indicatifs pays, des modèles de messages et des horaires intégrés dans leur code, qu’elles mélangeaient à des numéros générés au hasard pour fabriquer de toutes pièces de faux journaux d’appels ou de faux historiques de communication. Dans d’autres cas, les résultats promis par mail ne sont même jamais arrivés.
La campagne a depuis été perturbée, les 28 applications signalées par ESET ayant été supprimées du Play Store. Elle visait a priori surtout l’Inde et, plus largement, la région Asie-Pacifique.
À noter enfin que si certaines applications sont passées par la facturation officielle du Play Store, ce qui doit en théorie permettre d’annuler un abonnement ou de demander un remboursement dans les conditions prévues par Google, d’autres se sont bien gardées d’emprunter ce chemin, redirigeant vers des paiements tiers, des liens externes ou des formulaires de carte bancaire intégrés aux applis malveillantes. Pour contester le paiement, il faudra alors se tourner vers sa banque ou le prestataire de paiement, signaler l’achat frauduleux, surveiller les prochains débits et demander le blocage ou le remplacement de la carte si ses coordonnées ont été saisies directement dans l’application.
Les bons réflexes face aux applis qui promettent l’impossible
Avant toute chose, il faut rappeler l’évidence, parce qu’elle a manifestement besoin de l’être. Chercher à obtenir les journaux d’appels, les messages ou les communications WhatsApp d’une autre personne sans son accord, ce n’est pas de la curiosité un peu limite ni un usage « malin » d’une application. C’est une intrusion dans sa vie privée. Selon les cas, cela peut relever du harcèlement, de la surveillance abusive ou d’une atteinte à des données personnelles protégées. Bref, ce n’est acceptable ni moralement ni juridiquement.
Pour éviter de se faire piéger, mieux vaut regarder plus loin que la note moyenne affichée sur la fiche d’une application. Les avis négatifs, souvent plus précis que les commentaires enthousiastes et interchangeables, peuvent faire remonter des paiements inexpliqués, des abonnements impossibles à annuler ou des résultats jamais reçus. Il faut aussi prendre le temps de vérifier qui publie l’application. Un nom rassurant, vaguement officiel ou volontairement familier ne suffit pas à établir la légitimité d’un service, surtout lorsque la promesse touche à des données privées. Même prudence au moment de payer. Dès qu’une application téléchargée depuis Google Play pousse vers un règlement par lien externe, application tierce, virement ou formulaire de carte bancaire intégré, le signal d’alerte doit être immédiat.
Le cas CallPhantom rappelle enfin que la boutique officielle de Google filtre une partie des abus, mais qu’elle n’empêche pas toutes les arnaques de passer. C’est encore plus vrai lorsqu’elles ne reposent ni sur des permissions dangereuses, ni sur du code malveillant évident. Ici, les applications n’avaient pas besoin de contourner les protections d’Android pour atteindre leur objectif. Elles misaient sur une idée beaucoup plus rentable, faire croire qu’il existe une application capable d’espionner n’importe qui, puis encaisser l’argent avant que l’entourloupe ne saute aux yeux.
