Как една функция за удобство се превръща във вектор за атаки

Киберразследване на CTM360 разкрива мащабна измамна операция, използваща Telegram Mini Apps за крипто измами, фалшиви инвестиционни платформи и разпространение на Android малуер.

Кампанията е известна като FEMITBOT – име, извлечено от API отговори, които се използват като обща инфраструктурна „подписка“ за множество фишинг операции.

Какво представляват Telegram Mini Apps

Mini Apps са леки уеб приложения, които работят директно в Telegram чрез вградения браузър (WebView). Те позволяват:

• Плащания
• Достъп до услуги
• Интерактивни интерфейси
• Работа без напускане на приложението

Именно тази интеграция ги прави удобни – но и опасни, когато бъдат злоупотребени.

Как работи FEMITBOT инфраструктурата

Според анализа, атаката използва единна backend система, която обслужва различни измамни кампании:

• Крипто платформи
• Фалшиви финансови услуги
• AI инструменти
• Стрийминг сайтове

Всички те използват една и съща основа, показвайки идентичен API отговор:

„Welcome to join the FEMITBOT platform“

Имитация на глобални брандове

За да повишат доверието, атакуващите имитират добре познати компании, включително:

• Apple
• Coca-Cola
• Disney
• eBay
• IBM
• NVIDIA

В някои случаи интерфейсите дори показват фалшиви „печалби“ и dashboards, създадени да изглеждат като реални инвестиционни платформи.

Социално инженерство и психологически натиск

FEMITBOT използва класически, но ефективни техники:

• Изкуствено показване на печалби
• Таймери за „ограничени оферти“
• Натиск за бързи депозити
• Задължителни „реферални задачи“

Това превръща схемата в комбинация от инвестиционна измама и advance-fee fraud.

Разпространение на Android малуер

Един от най-опасните аспекти на кампанията е разпространението на зловредни приложения чрез APK файлове.

Потребителите са подканвани да изтеглят приложения, които имитират:

• BBC
• NVIDIA
• CineTV
• CoreWeave
• Claro

Тези APK файлове често:

• Имат имена, приличащи на легитимни приложения
• Са хоствани на същия домейн като API системата
• Използват валидни TLS сертификати, за да изглеждат надеждни

Как се привличат жертвите

Атакуващият процес обикновено включва:

1. Telegram бот, който стартира Mini App
2. Фалшив интерфейс в WebView
3. Показване на „баланс“ или „печалба“
4. Изискване за депозит или задача
5. Пренасочване към изтегляне на APK или PWA

Защо тази схема е особено ефективна

FEMITBOT комбинира няколко силни фактора:

• Вътрешна среда (in-app браузър) – липса на визуални сигнали за фишинг
• Бранд имитация – високо доверие
• Единна инфраструктура – лесно мащабиране
• Мултиплатформен подход – Web + Android + социални мрежи

Допълнително се използват tracking инструменти като Meta и TikTok пиксели за анализ и оптимизация на кампаниите.

Препоръки за защита

Експертите съветват:

• Избягване на инвестиционни оферти в чат приложения
• Внимание към Telegram ботове, които искат депозити
• Никога да не се инсталират APK файлове извън Google Play
• Проверка на домейни и приложения преди взаимодействие
• Скептицизъм към „гарантирани печалби“

Ново поколение социално инженерство

FEMITBOT показва как атакуващите вече не разчитат само на фишинг сайтове, а използват цялостни екосистеми в рамките на легитимни платформи като Telegram.

Това превръща социалните приложения в пълноценна среда за измами – където границата между реално и фалшиво е почти невидима.