يقوم محتالو العملات المشفرة باستخدام تطبيقات Telegram Mini كسلاح للمنصات المزيفة

تستخدم FEMITBOT، وهي شبكة احتيال واسعة النطاق، ميزة تطبيق Telegram Mini App لتشغيل منصات عملات مشفرة مزيفة، وانتحال صفة علامات تجارية معروفة، وإرسال برامج ضارة لنظام Android.

وفقًا لشركة CTM360، وهي شركة للأمن السيبراني، تستخدم عملية الاحتيال روبوتات Telegram والتطبيقات المصغرة المضمنة لإنشاء واجهات تصيد يتم تحميلها مباشرة في متصفح Telegram المدمج.

تبدو صفحات الاحتيال أكثر واقعية من رابط التصيد الاحتيالي العادي الذي يتم إرساله عبر البريد الإلكتروني أو الرسائل النصية القصيرة لأن الضحايا لا يغادرون تطبيق المراسلة أبدًا.

يستخدم FEMITBOT Telegram للعثور على الضحايا

تطبيقات Telegram Mini هي تطبيقات ويب صغيرة تعمل داخل WebView الخاص بـ Telegram.

فهي تتيح للمستخدمين إجراء الدفعات والوصول إلى الحسابات واستخدام الأدوات التفاعلية دون الحاجة إلى تثبيت تطبيق أو متصفح منفصل.

لقد حول الأشخاص الذين يديرون FEMITBOT سهولة الاستخدام هذه إلى سلاح.

عندما ينقر الضحية على "ابدأ" على أحد الروبوتات المزيفة، يتم فتح تطبيق صغير، ويعرض صفحة تصيد تبدو وكأنها لوحة معلومات لاستثمار العملات المشفرة.

تعرض الصفحات أرصدة وأرباح حسابات مزيفة، وغالبًا ما تحتوي على مؤقتات للعد التنازلي أو عروض لفترة محدودة تهدف إلى جعل الأشخاص يشعرون أنهم بحاجة إلى التصرف بسرعة.

يتم الاستخراج المالي أثناء عملية السحب.

يُطلب من الأشخاص الذين يحاولون صرف أرباحهم المزيفة أن يقوموا أولاً بإيداع أموال حقيقية أو القيام بمهام الإحالة. هذه طريقة شائعة للعمل في عمليات الاحتيال المتعلقة بالرسوم المسبقة وذبح الخنازير.

FEMITBOT ينتحل شخصية العلامات التجارية على نطاق واسع

يطلق الباحثون الأمنيون على بنية FEMITBOT اسم "نموذجي، يعتمد على القالب".

تتيح الواجهة الخلفية المشتركة للمشغلين تغيير العلامة التجارية واللغات والموضوعات المرئية للحملات مع الحفاظ على نفس البنية التحتية.

أكد الباحثون في CTM360 الارتباط من خلال العثور على سلسلة استجابة شائعة لواجهة برمجة التطبيقات، "مرحبًا بكم في الانضمام إلى منصة FEMITBOT"، والتي تم إرسالها مرة أخرى بواسطة العديد من مجالات التصيد الاحتيالي.

وكانت بعض العلامات التجارية المزيفة من عالم العملات المشفرة، بما في ذلك Bitget وOKX وBinance وMoonPay.

يشير النطاق الواسع من انتحال الشخصية إلى أن العملية تهدف إلى الوصول إلى الكثير من الأشخاص في جميع أنحاء العالم.

تستخدم الحملات أيضًا تتبعًا مشابهًا للإعلانات.

وكتب باحثون من CTM360: "تدمج البنية التحتية المرصودة آليات تتبع التحويل من Meta Platforms (Facebook/Instagram) وTikTok ضمن عملياتها".

تستخدم بعض تطبيقات FEMITBOT Mini Apps وحدات بكسل التتبع Meta وTikTok لمراقبة ما يفعله المستخدمون، ومعرفة عدد الأشخاص الذين يقومون بالتحويل، وتحسين أداء حملاتهم، باستخدام تقنيات مباشرة من التسويق الرقمي الحقيقي.

يقوم المحتالون بتوزيع البرامج الضارة من خلال ملفات APK المزيفة

لا ترتكب بعض تطبيقات FEMITBOT Mini Apps عمليات احتيال مالي فحسب، ولكنها تنشر أيضًا برامج ضارة تعمل بنظام Android والتي تبدو وكأنها تطبيقات حقيقية.

عثر باحثو الأمن على ملفات APK تتظاهر بأنها من علامات تجارية مثل Netflix، وBBC، وNVIDIA، وCineTV، وCoreweave، وClaro.

وقالت الشركة إن ملفات APK مستضافة على نفس المجال مثل واجهة برمجة تطبيقات الحملة. وهذا يضمن أن شهادات TLS صالحة ويمنع ظهور تحذيرات أمان المتصفح، مما قد ينبه الضحايا.

يُطلب من المستخدمين تحميل ملفات APK جانبًا، أو فتح الروابط في متصفح التطبيق، أو تثبيت تطبيقات الويب التقدمية التي تبدو وكأنها برامج حقيقية.

أمثلة على ملفات APK الضارة. المصدر: CTM350.

يعد مكون البرامج الضارة في FEMITBOT الأكثر خطورة بالنسبة للأشخاص الذين يستخدمون Android.

إحدى الطرق الأكثر شيوعًا لوصول البرامج الضارة على الهاتف المحمول إلى هاتفك هي تحميل ملفات APK من خارج متجر Google Play.

إن استخدام FEMITBOT لشهادات TLS المطابقة يجعل من الصعب تمييز تنزيلاته عن الملفات الحقيقية في لمحة واحدة.

إذا طلب روبوت Telegram من المستخدمين الاستثمار في العملات المشفرة، أو أظهر عوائد غير واقعية، أو طلب منهم إيداع أموال قبل أن يتمكنوا من سحب الأموال، فيجب أن يكونوا متشككين.

تعد مؤقتات العد التنازلي ولغة الاستعجال ومتطلبات الإحالة كلها علامات على الاحتيال في الرسوم المسبقة.