730万人相信,花点小钱就能查看任何人的通话记录。这不是阴谋论,是真实发生在Google Play商店的事。
安全公司ESET的研究人员花了数月时间,追踪到一个名为CallPhantom的欺诈应用家族——28款Android应用, collectively承诺用户能窥探任意号码的通话记录、短信甚至WhatsApp历史。输入号码,付费, supposedly就能看到对方的秘密。实际上,用户看到的是完全伪造的数据:随机生成的电话号码配上硬编码的姓名和时间戳,由应用自己生成,设计得刚好足够逼真。
关键的设计在于付费顺序。用户必须先交钱,才能看到这些"数据"。这不是疏忽,是核心商业模式。
28款应用在Google Play商店存活了足够长的时间,累积了数百万下载量。其中一款的开发者名称叫"Indian gov.in",暗示政府背景,实则毫无关联。部分应用的评论区里,被骗用户的警告与大量可疑的五星级好评并存,维持着体面的评分。
ESET于2025年12月向Google报告了全部应用,随后被移除。但移除来自外部报告,而非平台自身的检测。对于一个在自动化威胁检测和App Defense Alliance框架上投入巨大的平台来说,让28款承诺同一技术上不可能实现的功能的诈骗变种累积数百万下载,是一个显著的漏洞。
部分应用还绕过了Google的支付基础设施,将用户导向第三方UPI交易或应用内嵌的直接银行卡输入界面。这违反了Play商店政策,也意味着Google无法为这些用户提供退款。任何通过非官方计费系统付款的人,只能自行追讨支付服务商或开发者——而后者显然没有帮助的动力。
这个故事更不舒服的部分在于驱动730万下载的动机。这些应用不提供云存储或照片编辑功能。它们提供的是人们足够渴望、愿意付费的东西:监视他人的能力——伴侣、前任、青少年或商业联系人。无论理由是什么,显然存在一个庞大且愿意为此买单的受众群体。
应用们无情地利用了这种欲望,配以精心设计的界面和社交工程话术。但技术现实从未改变:运营商不会暴露这类数据,第三方开发者也没有获取权限。这是不可能的,不是灰色地带,就是不可能。
730万人中的大多数,可能至今不知道被骗了。他们付了钱,看到了看起来像真的东西,然后停止使用。少数人发现真相后留下评论,但被淹没在虚假好评中。这是一个完美的信息不对称陷阱:受害者分散、沉默、难以组织,而平台从中抽成的机制,对绕开官方支付的行为缺乏有效拦截。
CallPhantom家族已被清除,但模板已经验证成功。技术上不可能的承诺+情感驱动的需求+先付费后验货的流程=数百万美元。Google的检测系统没有识别出这个模式,直到外部研究人员介入。而730万这个数字揭示的,不仅是平台安全机制的缺口,还有一个不愿被承认的市场:对监视工具的隐秘需求,规模远超公开讨论中的估计。
热门跟贴