Des applications promettant d’espionner les appels, les SMS et les messages WhatsApp ont dépassé 7,3 millions de téléchargements avant d’être retirées de Google Play. Derrière ces services, les chercheurs d’ESET ont identifié une vaste arnaque baptisée CallPhantom. Les utilisateurs pensaient accéder aux données d’un autre téléphone, mais ils payaient en réalité pour recevoir des informations entièrement fabriquées.
Des applications qui promettaient d’espionner n’importe quel téléphone
Au moins 28 applications diffusées sur Google Play affirmaient pouvoir récupérer l’historique des appels, les SMS et même des journaux WhatsApp associés à n’importe quel numéro de téléphone.
Le principe semblait très simple. L’utilisateur téléchargeait l’application, saisissait le numéro à surveiller, puis voyait apparaître des barres de progression, des messages de chargement et des animations censées simuler un accès à des données privées.
Tout était conçu pour donner l’impression d’une opération en temps réel. Au moment d’afficher les prétendus résultats, l’application réclamait un paiement, souvent sous forme d’abonnement ou d’accès spécial.
Les historiques affichés étaient totalement faux
Les analyses d’ESET sont formelles : ces applications ne pouvaient pas accéder aux données réelles d’un téléphone tiers.
Les noms, numéros, horaires et durées d’appels visibles à l’écran étaient générés à partir d’éléments intégrés dans le code. L’utilisateur payait donc pour consulter un historique inventé, présenté dans une interface assez crédible pour le tromper.
Cette mécanique rendait l’arnaque particulièrement efficace. Les applications ne récupéraient pas les messages de la personne visée : elles exploitaient surtout la curiosité, la méfiance ou la volonté de contrôle de l’utilisateur.
Jusqu’à 80 dollars par an pour des données inventées
L’arnaque CallPhantom a pris une ampleur mondiale, avec plus de 7,3 millions d’installations avant la suppression des applications concernées.
Certaines victimes pouvaient payer jusqu’à 80 dollars par an pour des abonnements donnant accès à des données sans aucune valeur. Les offres les moins chères démarraient autour de 5 euros, mais le résultat restait identique : aucune information authentique n’était fournie.
Pour renforcer leur crédibilité, certains développeurs utilisaient de faux noms laissant croire à un lien avec des organismes officiels, comme “Indian gov.in”. Les fiches des applications affichaient aussi de faux avis et des captures d’écran montrant des historiques inventés.
Les paiements pouvaient devenir très difficiles à récupérer
Les développeurs multipliaient les moyens d’encaissement. Certaines applications passaient par les abonnements Google Play, d’autres utilisaient des plateformes de paiement externes compatibles avec UPI, ou demandaient directement les coordonnées de carte bancaire dans un formulaire intégré.
Cette diversité compliquait fortement les recours. Quand le paiement était effectué via Google Play, une demande de remboursement pouvait parfois être tentée.
Avec un paiement externe ou une carte saisie directement dans l’application, les victimes se retrouvaient beaucoup plus exposées, sans garantie de récupérer leur argent.
Les coordonnées bancaires devenaient une cible supplémentaire
Le risque ne s’arrêtait pas au prix de l’abonnement. Saisir une carte bancaire dans une application frauduleuse pouvait ouvrir la voie à des débits non autorisés, à une usurpation d’identité ou à un accès abusif à des comptes bancaires.
Certaines applications utilisaient aussi des URL codées ou des bases de données modifiables à distance. Les opérateurs pouvaient ainsi changer les comptes destinataires des paiements à tout moment, ce qui rendait l’identification des flux plus complexe.
Même lorsqu’un utilisateur hésitait à payer, l’application continuait la pression. Des notifications lui indiquaient que les résultats étaient déjà disponibles, afin de provoquer une décision rapide.
Espionner un téléphone sans consentement expose aussi à des risques juridiques
Ces applications reposaient sur une promesse qui doit immédiatement alerter : accéder aux communications privées d’une autre personne sans son accord.
Au-delà de l’arnaque financière, l’usage recherché peut entraîner des conséquences légales. Espionner les appels, les messages ou les conversations WhatsApp d’un proche sans consentement constitue une atteinte à la vie privée.
ESET rappelle qu’aucune application légitime ne peut récupérer les données privées d’un autre numéro sans consentement ni accès physique au téléphone concerné. Toute promesse contraire doit être considérée comme un signal clair d’arnaque.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
