I ricercatori di sicurezza informatica hanno identificato un’operazione di frode significativa utilizzando la funzionalità Mini App di Telegram per truffe di criptovaluta, impersonificazione del marchio e distribuzione di malware Android. L’operazione, nota come FEMITBOT, sfrutta i bot di Telegram e le mini app integrate per offrire esperienze convincenti direttamente all’interno dell’app.
Il rapporto CTM360 indica che FEMITBOT conduce varie truffe, tra cui false piattaforme di criptovaluta e servizi finanziari fraudolenti, impersonando marchi noti. Questa tattica aumenta la credibilità dell’operazione, consentendole di coinvolgere utenti ignari.
Marchi come Apple, Coca-Cola, Disney e IBM sono stati imitati, utilizzando un’infrastruttura comune con più domini di phishing che condividono la stessa risposta API: “Benvenuti nella piattaforma FEMITBOT”. Ciò indica un backend unificato per l’operazione di frode.
I bot di Telegram presentano siti di phishing all’interno della piattaforma stessa. Gli utenti che interagiscono con questi bot e fanno clic su “Avvia” vengono reindirizzati a una mini app che visualizza una pagina di phishing nella WebView integrata di Telegram. Alle vittime vengono spesso mostrati dashboard falsi che mostrano saldi o guadagni fittizi, arricchiti da timer per il conto alla rovescia per creare urgenza.
Quando gli utenti tentano di prelevare fondi, vengono indirizzati a depositare più denaro o a completare varie attività di segnalazione, una tattica comunemente osservata nelle truffe. L’infrastruttura che supporta FEMITBOT consente rapidi aggiustamenti tra diverse campagne, consentendo agli aggressori di modificare facilmente il marchio, le lingue e i temi.
Inoltre, le campagne di truffa incorporano script di tracciamento come pixel Meta e TikTok per monitorare l’attività dell’utente e ottimizzare il coinvolgimento. Alcune mini app distribuiscono malware Android, spacciandosi per marchi come BBC e NVIDIA. Gli utenti sono spesso invitati a scaricare file APK o ad aprire collegamenti nel browser in-app, il che porta a installazioni di software potenzialmente dannose.
CTM360 spiega: “I nomi dei file APK sono scelti con cura per assomigliare ad applicazioni legittime o utilizzare nomi dall’aspetto casuale che non destano immediatamente sospetti”. Gli APK sono ospitati sullo stesso dominio dell’API, garantendo certificati TLS validi per evitare avvisi del browser.
Gli esperti consigliano agli utenti di prestare attenzione ai bot di Telegram che suggeriscono investimenti in criptovalute, in particolare quelli che richiedono depositi o download di app. Gli utenti Android sono inoltre avvisati di evitare il sideload dei file APK, poiché queste pratiche spesso portano alla distribuzione di malware al di fuori del Google Play Store.
