Pesquisadores de segurança cibernética identificaram uma operação fraudulenta significativa utilizando o recurso Mini App do Telegram para golpes de criptomoeda, falsificação de identidade de marca e distribuição de malware Android. A operação, conhecida como FEMITBOT, utiliza bots do Telegram e Mini Apps integrados para oferecer experiências convincentes diretamente no aplicativo.
O relatório CTM360 indica que a FEMITBOT conduz vários golpes, incluindo plataformas falsas de criptomoedas e serviços financeiros fraudulentos, fazendo-se passar por marcas conhecidas. Essa tática aumenta a credibilidade da operação, permitindo envolver usuários desavisados.
Marcas como Apple, Coca-Cola, Disney e IBM foram personificadas, empregando uma infraestrutura comum com vários domínios de phishing que compartilham a mesma resposta de API: “Bem-vindo à plataforma FEMITBOT”. Isso indica um back-end unificado para a operação fraudulenta.
Os bots do Telegram apresentam sites de phishing dentro da própria plataforma. Os usuários que interagem com esses bots e clicam em “Iniciar” são redirecionados para um Mini App que exibe uma página de phishing no WebView integrado do Telegram. Muitas vezes são mostrados às vítimas painéis falsos que exibem saldos ou ganhos fictícios, aprimorados por cronômetros de contagem regressiva para criar urgência.
À medida que os usuários tentam sacar fundos, eles são direcionados a depositar mais dinheiro ou realizar diversas tarefas de indicação, uma tática comumente observada em golpes. A infraestrutura que suporta o FEMITBOT permite ajustes rápidos em diferentes campanhas, facilitando aos invasores a modificação de marcas, idiomas e temas.
Além disso, as campanhas fraudulentas incorporam scripts de rastreamento como pixels Meta e TikTok para monitorar a atividade do usuário e otimizar o envolvimento. Alguns Mini Apps distribuem malware para Android, fazendo-se passar por marcas como BBC e NVIDIA. Os usuários são frequentemente solicitados a baixar arquivos APK ou abrir links no navegador do aplicativo, levando a instalações de software potencialmente prejudiciais.
CTM360 explica: “Os nomes dos arquivos APK são cuidadosamente escolhidos para se parecerem com aplicativos legítimos ou usam nomes de aparência aleatória que não levantam suspeitas imediatamente”. Os APKs são hospedados no mesmo domínio da API, garantindo certificados TLS válidos para evitar avisos do navegador.
Os especialistas aconselham os usuários a terem cautela com os bots do Telegram que sugerem investimentos em criptografia, especialmente aqueles que solicitam depósitos ou downloads de aplicativos. Os usuários do Android também são alertados para evitar o carregamento lateral de arquivos APK, pois essas práticas frequentemente levam à distribuição de malware fora da Google Play Store.
