Да возможно, но еще есть варики подменять номера на стороннем софте, а на устройстве пользователя использовать ранее установленную им программу, даже из гуглоплея, вполне безобидную и полезную на первый взгляд, но собирающую данные и отправляющую их конкретным получателям. При установке проги стандартно запрашиваются разрешения прописанные в манифесте приложения на доступ к адресной книге, звонкам, сообщениям и локальным файлам. Все эти разрешения дает радостный владелец телефона и благополучно забывает об этом, пользуется прогой, смотрит карты, или слушает музыку, или вообще не пользуется приложухой, но в фоне работают сервисы приложения и мониторят все события, кто звонит, какой номер, какие приходят СМС, их содержимое и так далее. Просто отправляет эти данные в сеть. А далее на той стороне стоят сервера, которые обратывают эти данные и при срабатывании тригеров, например на содержание СМС подписанной банком ВТБ и содержащую сумму остатка на карте уже подключаются настоящие люди и более подробно изучают клиента. После этого можно звонить и раскручивать.

да небыло там никакой базовой станции. все такие случаи чаще всего по одной схеме идут. телефон андройд. ребенок взял поиграть. через рекламу в игре подсадилась гадость, которая перехватывает и смс и получает контроль над приложением.