文章总结： 本文通过逆向分析揭露Android黑产CallPhantom和GoldFactory的作案手法：前者在GooglePlay上架28款应用，通过硬编码虚假数据伪造通话记录查询功能骗取用户订阅费，并利用通知劫持诱导支付；后者使用远控木马通过无障碍服务窃取银行信息。文章指出当前移动安全存在低技术诈骗与高技术攻击两极分化现象，建议加强业务合规监控与系统级风险防御。 综合评分： 85 文章分类： 移动安全,恶意软件,安全意识,应急响应,威胁情报

【安全逆向】28款应用被下架！揭秘应用商店黑产绕过审核的底层逻辑

原创

Kit Chung Kit Chung

安全圈动向

2026年5月14日 08:05 广东

在小说阅读器读本章

去阅读

大家好，如果你经常在Android圈子里混，或者对移动端安全有所关注，你一定会觉得现在的App黑产门槛是越来越高了——不仅要懂各种加固、混淆，还要绞尽脑汁挖掘0day漏洞去绕过系统沙箱。

但在最近，安全团队ESET曝光的一组数据却让我大跌眼镜：28款应用，累计超过730万次下载（其中单款下载量更是突破300万次），堂而皇之地挂在官方Google Play商店里。它们打着“能够查询任意手机号码的通话记录、短信甚至WhatsApp聊天记录”的旗号，疯狂收割用户的钱包。

今天，咱们就从逆向工程和代码实现的视角，来扒一扒这个代号为 CallPhantom 的黑产活动。顺便也聊聊，从这种“低技术含量”的诈骗，到真正的硬核远控木马（RAT），当下的黑灰产到底在用什么技术栈。

一、 零权限的“伪黑客”：CallPhantom的逆向分析

初看这个新闻，很多兄弟第一反应肯定是：“这怎么可能过得了Google Play Protect的机审？”

众所周知，想要读取通话记录和短信，你必须在 AndroidManifest.xml 中声明 READ_CALL_LOG 和 READ_SMS 等高危权限。而Google对这类权限的管控极其严格，连正规应用都很难申请下来，更别提这种名不见经传的小App了。那么他们是怎么绕过审核的呢？

答案非常讽刺：他们根本就没申请这些权限。

1. 核心逻辑还原：没有API调用，只有Random

如果我们将这些被下架的APK（比如包名为 com.pixelxinnovation.manager 的应用）拖进 Jadx 或者 Apktool 里进行反编译，你会发现它的业务代码“干净”得令人发指。它根本就不包含任何查询本地SQLite数据库或者调用底层通讯录API的逻辑。

ESET的安全研究员发现，当你输入一个目标号码并支付高昂的订阅费（大概6到80美元不等）后，App 并没有去向什么C2服务器发起查询请求，而是直接在本地跑了一段类似这样的逻辑：

技术重现猜想：

黑产开发者在源码中直接硬编码（Hardcoded）了一个庞大的虚假姓名和号码数组，或者写了一个简单的随机数生成器。当检测到 PaymentStatus == SUCCESS 时，直接通过 RecyclerView 渲染出一堆伪造的通话记录和短信列表。也就是说，你花了几十美金买到的，只是一个毫无技术含量的“前端UI展示”。

2. 生命周期劫持与欺骗性通知

为了逼迫用户掏钱，开发者还在Android的生命周期上玩了点花样。

逆向发现，当用户在订阅页面犹豫，按下 Home 键将 App 退到后台时（触发了 onPause() 或 onStop() ），App 会立刻调用 NotificationManager 在本地推送一条伪造的通知：

“✅ 目标号码的通话记录已成功发送至您的邮箱！”

这其实是个纯粹的心理战。很多小白用户一激动，点击这条通知，通过 PendingIntent 又被直接拉回了支付界面的 Activity。这种利用系统通知进行暗黑模式（Dark Patterns）引导的技术，值得我们在开发防欺诈系统时重点关注。

二、 绕过谷歌支付体系的“暗度陈仓”

既然是骗钱，怎么把钱收进自己的口袋是个技术活。在Google Play上，强行绕过官方的结算系统（Google Play Billing）是大忌。但 CallPhantom 偏偏这么干了，而且套路很深。

他们采用了三种支付路径：

• 老老实实走官方订阅：

  这部分用户其实可以根据Google的政策申请退款。

• 接入第三方UPI（统一支付接口）：

  针对印度及亚太地区，他们通过WebView或动态加载的SDK，直接唤起了 Google Pay、PhonePe 和 Paytm 等支付工具。

• App内嵌信用卡表单：

  直接在应用里渲染H5表单收集信用卡信息。

技术难点与实现路径： 他们是如何在审核期隐藏后两种违规支付方式的呢？通常的手法是云端控频/下发配置 (Server-Side Flag)。在提交给Google审核的版本中，App 表现得像个乖宝宝，只展示官方支付；一旦上架成功，C2服务器下发一个开关，客户端直接热更新UI或切换 WebView 的URL，把违规的第三方支付甚至钓鱼页面暴露出来。这也解释了为什么他们需要使用诸如 “Indian gov.in” 这种高仿官方名称的开发者账号来建立初始信任。

三、 进阶的屠龙术：从欺诈演变到全设备接管

如果你觉得 CallPhantom 这种纯靠“前端造假+心理学”的手段太Low，那接下来 Group-IB 曝光的另一个针对印尼用户的安全事件，则是实打实的硬核技术对抗了。

这个被称为 GoldFactory 的黑产团伙，从2025年7月开始，伪装成印尼税务平台（CoreTax）及其他16个知名品牌，卷走了大约200万美元。

他们不玩虚的，而是直接上了Android RAT（远程管理木马）三板斧：Gigabud RAT、MMRat 和 Taotie。

核心攻击链路拆解：

• 分发阶段：

  通过WhatsApp进行社交工程钓鱼，诱导用户通过侧载（Sideloading）安装恶意APK（需要用户手动开启 REQUEST_INSTALL_PACKAGES 权限）。

• 提权阶段（核心点）：

  恶意应用运行后，会通过各种话术诱导用户开启Android的 无障碍服务 (Accessibility Services)。

• 恶意执行：

  一旦拿到无障碍服务权限，这就等于拿到了Android的“免死金牌”。木马通过底层的 AccessibilityEvent 监听用户的屏幕变化（类似 UIAutomator），不仅能够记录键盘输入（窃取密码）、屏幕录制，甚至可以模拟手势点击。

这意味着，黑客可以在你睡觉的时候，远程唤醒你的手机，打开银行App，输入刚刚偷到的密码，并拦截短信验证码，自动完成转账。整个过程无需任何Root权限。

总结

看完这两个案例，我们不禁感慨：现在的Android安全攻防，已经呈现出明显的两极分化。

一端像 CallPhantom，代码简单到可以当大一学生的期末作业，没有高深的提权，完全依靠利用人性的弱点（偷窥欲）和绕过应用商店审核机制的漏洞，就能狂揽几百万下载量。

另一端像 GoldFactory，技术极其成熟，结合了社工、侧载、远控木马和无障碍服务的滥用，形成了一条流水线般的资金窃取黑产链。

作为开发者和安全从业者，这也给我们敲响了警钟：防御不能仅仅停留在代码层面（防注入、防反编译），对于业务合规性监控、应用商店的动态审核机制，以及针对小白用户的系统级风险提示，我们还有很长的路要走。

各位大佬在逆向分析或者日常开发中，有没有遇到过类似奇葩的代码套路？欢迎在评论区留言交流！

喜欢这篇文章的话，别忘了点个在看和分享，咱们下期干货再见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《【安全逆向】28款应用被下架！揭秘应用商店黑产绕过审核的底层逻辑》