Kiberbiztonsági kutatók egy széles körű csalási kampányt azonosítottak, amely a Telegram Mini App funkcióját használja kriptovaluta-csalásokhoz, ismert márkák megszemélyesítésére, valamint Android-kártevők terjesztésére. A CTM360 friss jelentése szerint a „FEMITBOT” nevű platform, Telegram botokat és beágyazott Mini Appokat használ, hogy megtévesztően hitelesnek tűnő, natív alkalmazásokhoz hasonló felhasználói élményt nyújtson, közvetlenül az üzenetküldő platformon belül.

A Telegram Mini Appok kis erőforrásigényű webalkalmazások,amelyek a Telegram beépített böngészőjében futnak. Ezek lehetővé teszik például a fizetést, a fiókok kezelését vagy interaktív eszközök használatát anélkül, hogy a felhasználónak el kellene hagynia az alkalmazást.

A CTM360 szerint a FEMITBOT platformot többféle csalásra használják, többek között hamis kriptovaluta-oldalak, pénzügyi szolgáltatások, MI-eszközök és streaming felületek létrehozására. A kampányokban a támadók ismert márkák (Apple, Coca-Cola, Disney, eBay, IBM, MoonPay, NVIDIA, YouKu) megszemélyesítésével növelik a hitelesség látszatát és a felhasználói bizalmat (1. ábra), miközben egységes háttérinfrastruktúrát használnak különböző domainekkel és Telegram-botokkal.

A kutatók szerint a művelet közös backend infrastruktúrára épül, mivel több adathalász domain ugyanazt az API-választ használja „Welcome to join the FEMITBOT platform” (2. ábra).

A támadások során a Telegram botok az adathalász oldalakat közvetlenül a platformon belül jelenítik meg. Amikor a felhasználó elindít egy botot és a „Start” gombra kattint, a rendszer egy Mini Appot nyit meg, amely a Telegram beépített WebView felületén keresztül tölti be a csaló weboldalt, így az az alkalmazás szerves részének tűnik.

A felhasználók ezt követően olyan hamis vezérlőpultokat látnak, amelyek megtévesztő egyenlegeket vagy „nyereségeket” jelenítenek meg. A támadók gyakran visszaszámlálók és időkorláthoz kötött ajánlatok alkalmazásával fokozzák a sürgősség érzetét. Amikor az áldozatok pénzfelvételt próbálnak kezdeményezni, a rendszer befizetést vagy „feladatok” például ajánlások teljesítését kéri. Ez egy tipikus módszer a befektetési csalásoknál.

A kutatók szerint az infrastruktúrát úgy tervezték, hogy több kampányban is újra felhasználható legyen, lehetővé téve a márkák, a nyelvek és a témák gyors változtatását. A kampányok tracking szkripteket is alkalmaznak, például Meta és TikTok pixeleket a felhasználói aktivitás monitorozására, a konverziók mérésére, és a hatékonyság optimalizálására. Egyes Mini Appok Android APK-k formájában kártevőket is terjeszthetnek, ismert márkák, mint például a BBC, az NVIDIA, a CineTV, a CoreWeave és a Claro megszemélyesítésével (3. ábra).

A felhasználókat gyakran APK-fájlok letöltésére, az alkalmazáson belüli böngészőben megnyitott hivatkozások követésére, vagy legitim szoftvereket utánzó progresszív webalkalmazások telepítésére ösztönzik.

A szakértők szerint különösen fontos óvatosnak lenni minden olyan Telegram bottal szemben, amely kriptobefektetéseket népszerűsít vagy Mini Appok elindítására ösztönöz, főként, ha befizetést vagy szoftvertelepítést kér.

Emellett az Android-felhasználóknak érdemes kerülniük az APK-fájlok külső forrásból történő telepítését (sideloading), mivel ezeket gyakran használják kártevők terjesztésére a Google Play áruházon kívül.