Mindestens eine der beanstandeten Apps wurde unter dem Entwicklernamen „Indian gov.in" veröffentlicht, um ein falsches Vertrauensgefühl zu erzeugen und arglose Nutzer zum Herunterladen zu bewegen. Dahinter steckte jedoch die Absicht, Opfer für die angeblichen Anruf- und SMS-Details einer Nummer zur Kasse zu bitten. Nach erfolgter Zahlung bekamen sie ausschließlich erfundene Telefonnummern und Namen angezeigt, die direkt im Quellcode hinterlegt waren.

Eine zweite Gruppe dieser Apps forderte Nutzer auf, eine E-Mail-Adresse anzugeben, an die die vermeintlichen Angaben zu einer beliebigen Nummer geschickt werden sollten. Auch hier wurden erst nach einer Zahlung überhaupt Daten erzeugt.

Bei der Abwicklung der Zahlungen setzten die Betreiber auf mehrere Wege: Abonnements über das offizielle Abrechnungssystem des Google Play Store, Zahlungen über Drittanbieter-Apps mit Unterstützung für die in Indien weit verbreitete Unified Payments Interface (UPI) – darunter Google Pay, das von Walmart gestützte PhonePe sowie Paytm – und schließlich Kartenzahlungsformulare direkt in den Apps. Die beiden letztgenannten Methoden verstoßen gegen die Richtlinien von Google.

In mindestens einem Fall bauten die Apps einen zusätzlichen Trick ein: Verließen Nutzer die Anwendung ohne Zahlung, erschien eine täuschende Benachrichtigung, der zufolge ein Anrufverlauf zu einer bestimmten Nummer erfolgreich an ihre E-Mail-Adresse gesendet worden sei. Ein Klick darauf führte direkt zum Abo-Bildschirm. Die Abopreise reichten je nach App von rund 6 bis 80 US-Dollar. Wer auf den Betrug hereinfiel, sollte nach der Entfernung der Apps aus dem Store automatisch von den Abonnements befreit worden sein.

Laut ESET können Nutzer, die über das offizielle Google-Play-Abrechnungssystem gezahlt haben, im Rahmen der Rückerstattungsrichtlinien von Google erstattungsberechtigt sein. Käufe über Drittanbieter-Zahlungs-Apps oder per direkter Karteneingabe lassen sich dagegen nicht über Google zurückerstatten – Betroffene sind hier auf externe Zahlungsdienstleister oder die Entwickler angewiesen.

Parallel meldet Group-IB einen weiteren Fall: Demnach haben Kriminelle Nutzern in Indonesien rund 2 Millionen US-Dollar gestohlen. Bei der Kampagne, die im Juli 2025 begann, gaben sich die Täter als die staatliche Steuerplattform CoreTax und andere vertrauenswürdige Marken aus. Group-IB führt die Aktivität auf ein finanziell motiviertes Akteurscluster namens GoldFactory zurück.

Die Angriffskette kombiniert laut Group-IB Phishing-Webseiten, Social Engineering über WhatsApp, das Einschleusen schädlicher APK-Dateien sowie Voice-Phishing (Vishing), um Geräte vollständig zu kompromittieren und unautorisierte Überweisungen auszulösen. Über WhatsApp verbreitete Fake-Apps installieren Android-Schadsoftware wie Gigabud RAT, MMRat und Taotie, die sensible Daten abgreifen und weitere Komponenten nachladen. Dieselbe Infrastruktur missbrauchte nach Angaben von Group-IB mehr als 16 vertrauenswürdige Marken und zielte damit auf die rund 287 Millionen Einwohner Indonesiens.