Cybersicherheitsforscher haben einen bedeutenden Betrugsversuch identifiziert, der die Mini-App-Funktion von Telegram für Kryptowährungsbetrug, Markenbetrug und die Verbreitung von Android-Malware nutzt. Die als FEMITBOT bekannte Operation nutzt Telegram-Bots und eingebettete Mini-Apps, um überzeugende Erlebnisse direkt in der App zu liefern.
Aus dem CTM360-Bericht geht hervor, dass FEMITBOT verschiedene Betrügereien durchführt, darunter gefälschte Kryptowährungsplattformen und betrügerische Finanzdienstleistungen, indem es sich als bekannte Marken ausgibt. Diese Taktik erhöht die Glaubwürdigkeit des Unternehmens und ermöglicht es ihm, ahnungslose Benutzer anzulocken.
Marken wie Apple, Coca-Cola, Disney und IBM wurden imitiert und nutzten dabei eine gemeinsame Infrastruktur mit mehreren Phishing-Domänen, die dieselbe API-Antwort teilen: „Willkommen bei der FEMITBOT-Plattform.“ Dies weist auf ein einheitliches Backend für den Betrugsvorgang hin.
Telegram-Bots präsentieren Phishing-Seiten innerhalb der Plattform selbst. Benutzer, die mit diesen Bots interagieren und auf „Start“ klicken, werden zu einer Mini-App weitergeleitet, die eine Phishing-Seite im integrierten WebView von Telegram anzeigt. Den Opfern werden oft gefälschte Dashboards angezeigt, die fiktive Salden oder Einnahmen anzeigen, ergänzt durch Countdown-Timer, um Dringlichkeit zu schaffen.
Wenn Benutzer versuchen, Geld abzuheben, werden sie aufgefordert, mehr Geld einzuzahlen oder verschiedene Überweisungsaufgaben zu erledigen, eine Taktik, die häufig bei Betrügereien beobachtet wird. Die Infrastruktur, die FEMITBOT unterstützt, ermöglicht schnelle Anpassungen über verschiedene Kampagnen hinweg und erleichtert es den Angreifern, Branding, Sprachen und Themen zu ändern.
Darüber hinaus umfassen die Betrugskampagnen Tracking-Skripte wie Meta- und TikTok-Pixel, um die Benutzeraktivität zu überwachen und das Engagement zu optimieren. Einige Mini-Apps verbreiten Android-Malware und geben sich dabei als Marken wie BBC und NVIDIA aus. Benutzer werden häufig aufgefordert, APK-Dateien herunterzuladen oder Links im In-App-Browser zu öffnen, was zu potenziell schädlichen Softwareinstallationen führt.
CTM360 erklärt: „Die APK-Dateinamen werden sorgfältig ausgewählt, um legitimen Anwendungen zu ähneln oder zufällig aussehende Namen zu verwenden, die nicht sofort Verdacht erregen.“ Die APKs werden auf derselben Domäne wie die API gehostet, wodurch gültige TLS-Zertifikate sichergestellt werden, um Browserwarnungen zu vermeiden.
Experten raten Benutzern, bei Telegram-Bots, die Krypto-Investitionen vorschlagen, Vorsicht walten zu lassen, insbesondere bei solchen, die Einzahlungen oder App-Downloads anfordern. Android-Benutzer werden außerdem davor gewarnt, APK-Dateien seitlich zu laden, da diese Praktiken häufig zur Verbreitung von Malware außerhalb des Google Play Store führen.
