Il n'existe aucune application permettant de consulter l'historique des appels d'une autre personne. Il n'y en a jamais eu, et il n'y en aura très certainement jamais : les opérateurs ne divulguent pas ces données, et aucun développeur tiers ne dispose des autorisations nécessaires pour les récupérer. Il ne s'agit pas d'une zone grise ; c'est tout simplement impossible. Et pourtant, selon welivesecurity, 7,3 millions de personnes ont téléchargé des applications prétendant faire exactement cela.
Les chercheurs en sécurité d'ESET ont passé des mois à démêler une vaste famille de 28 applications Android frauduleuses qu'ils ont collectivement baptisées CallPhantom — des applications qui promettaient aux utilisateurs un aperçu de l'activité téléphonique de n'importe qui : journaux d'appels, enregistrements de SMS, voire historique WhatsApp. Il suffisait d’entrer un numéro, de payer une somme modique, et les secrets de la personne recherchée étaient censés être révélés. Ce qui en ressortait en réalité n’était que fiction : des numéros de téléphone aléatoires agrémentés de noms et d’horodatages codés en dur, générés par l’application elle-même, conçus pour paraître suffisamment convaincants afin de sembler réels. Le plus malin, c’est que les utilisateurs ne voyaient ces fausses données qu’après avoir déjà payé. Cette séquence n’était pas fortuite.
Google Play Store avait ici un sérieux angle mort
Les 28 applications sont restées sur le Google Play Store suffisamment longtemps pour accumuler des millions de téléchargements. L'une d'entre elles a été publiée sous le nom « Indian gov.in », un pseudonyme de développeur suggérant une légitimité gouvernementale qu'elle n'avait pas le droit de revendiquer. Plusieurs applications comportaient des sections d'avis remplies d'utilisateurs écrivant explicitement qu'ils avaient été escroqués, et ces avertissements coexistaient avec des grappes d'avis cinq étoiles étrangement enthousiastes qui permettaient de maintenir des notes respectables.
ESET a signalé l’ensemble de ces applications à Google en décembre 2025, et celles-ci ont été supprimées. Mais cette suppression faisait suite à un signalement externe, et non à une détection par Google lui-même. Pour une plateforme qui a massivement investi dans la détection automatisée des menaces et le cadre de l’App Defense Alliance, laisser 28 variantes de la même arnaque — promettant toutes la même fonctionnalité techniquement impossible — accumuler des millions de téléchargements constitue une faille importante.
Certaines applications ont aggravé la situation en contournant complètement l'infrastructure de paiement de Google, redirigeant les utilisateurs vers des transactions UPI tierces ou vers des champs de saisie directe de carte intégrés à l'application. Cela constitue une violation de la politique du Play Store, mais cela signifie également que Google ne peut pas rembourser ces utilisateurs. Quiconque a payé en dehors du système de facturation officiel doit se débrouiller seul pour contacter le prestataire de paiement ou les développeurs, qui, cela va sans dire, ne sont pas particulièrement motivés pour aider.
Ces applications ont fonctionné parce que leur argumentaire était irrésistible
Le plus dérangeant dans cette histoire, c’est ce qui a motivé ces 7,3 millions de téléchargements au départ. Ces applications n’offraient ni stockage dans le cloud ni nouvelle façon de retoucher des photos. Elles offraient quelque chose que les gens désiraient suffisamment pour être prêts à payer : la possibilité d’espionner quelqu’un — un partenaire, un ex, un adolescent ou un contact professionnel. Quelle qu’en soit la raison, il existait clairement un public nombreux et réceptif à cette idée.
Les applications ont exploité ce désir avec une précision impitoyable. Elles présélectionnaient par défaut l’indicatif pays +91 de l’Inde et prenaient en charge les paiements UPI, ce qui montre que les escrocs comprenaient bien leur public cible. Les niveaux d'abonnement allaient de quelques euros par semaine à 80 dollars par an, offrant aux utilisateurs des options qui donnaient l'impression d'un service légitime et répondaient à différents besoins. Une application, lorsqu'un utilisateur tentait de quitter l'application sans payer, envoyait une fausse notification push conçue pour ressembler à un e-mail venant d'arriver avec les résultats — une dernière tentative pour le ramener directement vers la page de paiement.
Cela a fonctionné parce que la curiosité est une force puissante, et que les applications ont été conçues par des personnes qui l’ont bien compris. Si l’on fait abstraction de l’enveloppe technique, on se retrouve face à une arnaque très ancienne : faire payer à quelqu’un quelque chose qu’il désire désespérément, lui donner un produit qui a l’air plausible mais qui ne vaut rien, et compter sur la gêne pour l’empêcher de se plaindre trop fort.
Pour toute personne victime de cette arnaque, les abonnements traités via le système officiel de Google Play peuvent être annulés — et potentiellement remboursés — via les paramètres de paiement du Play Store. Pour tout le reste, il faudra mener des négociations plus difficiles avec l'organisme qui a traité le paiement.
