Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali znaczącą operację oszustwa wykorzystującą funkcję Mini aplikacji Telegram do oszustw związanych z kryptowalutami, podszywania się pod markę i dystrybucji złośliwego oprogramowania dla systemu Android. Operacja ta, znana jako FEMITBOT, wykorzystuje boty Telegram i wbudowane mini aplikacje, aby zapewnić przekonujące doświadczenia bezpośrednio w aplikacji.
Raport CTM360 wskazuje, że FEMITBOT przeprowadza różne oszustwa, w tym fałszywe platformy kryptowalut i oszukańcze usługi finansowe, podszywając się pod znane marki. Taka taktyka zwiększa wiarygodność operacji, umożliwiając zaangażowanie niczego niepodejrzewających użytkowników.
Podszywano się pod takie marki, jak Apple, Coca-Cola, Disney i IBM, wykorzystując wspólną infrastrukturę z wieloma domenami phishingowymi, które mają tę samą odpowiedź API: „Witamy w platformie FEMITBOT”. Wskazuje to na ujednolicony backend dla operacji oszustwa.
Boty telegramowe prezentują strony phishingowe na samej platformie. Użytkownicy, którzy wchodzą w interakcję z tymi botami i klikają „Start”, są przekierowywani do mini aplikacji wyświetlającej stronę phishingową we wbudowanym widoku WebView Telegramu. Ofiarom często pokazuje się fałszywe pulpity nawigacyjne, na których wyświetlane są fikcyjne salda lub zarobki, uzupełnione licznikami odliczania czasu, aby nadać im pilny charakter.
Gdy użytkownicy próbują wypłacić środki, są kierowani do wpłacenia większej ilości pieniędzy lub wykonania różnych zadań polecających, co jest taktyką powszechnie obserwowaną w przypadku oszustw. Infrastruktura obsługująca FEMITBOT umożliwia szybkie dostosowywanie różnych kampanii, ułatwiając atakującym modyfikowanie marki, języków i motywów.
Co więcej, kampanie oszukańcze zawierają skrypty śledzące, takie jak piksele Meta i TikTok, w celu monitorowania aktywności użytkowników i optymalizacji zaangażowania. Niektóre Mini aplikacje rozpowszechniają złośliwe oprogramowanie dla Androida, podszywając się pod takie marki jak BBC i NVIDIA. Użytkownicy często są zachęcani do pobrania plików APK lub otwarcia linków w przeglądarce w aplikacji, co prowadzi do instalacji potencjalnie szkodliwego oprogramowania.
CTM360 wyjaśnia: „Nazwy plików APK są starannie dobierane tak, aby przypominały legalne aplikacje lub miały losowo wyglądające nazwy, które nie budzą od razu podejrzeń”. Pliki APK są hostowane w tej samej domenie co interfejs API, co zapewnia ważne certyfikaty TLS i pozwala uniknąć ostrzeżeń przeglądarki.
Eksperci radzą użytkownikom zachować ostrożność w przypadku botów Telegramu, które sugerują inwestycje w kryptowaluty, zwłaszcza te proszące o wpłaty lub pobranie aplikacji. Ostrzega się również użytkowników Androida, aby unikali bocznego ładowania plików APK, ponieważ praktyki te często prowadzą do dystrybucji złośliwego oprogramowania poza Sklepem Google Play.
