Krypto-Betrüger nutzen Telegram Mini Apps als Waffe für gefälschte Plattformen

FEMITBOT, ein großes Betrugsnetzwerk, nutzt die Mini-App-Funktion von Telegram, um gefälschte Kryptoplattformen zu betreiben, sich als bekannte Marken auszugeben und schädliche Android-Malware zu versenden.

Laut CTM360, einem Cybersicherheitsunternehmen, nutzt die Betrugsoperation Telegram-Bots und eingebettete Mini-Apps, um Phishing-Schnittstellen zu erstellen, die direkt in den integrierten Browser von Telegram geladen werden.

Die Betrugsseiten sehen realistischer aus als ein normaler Phishing-Link per E-Mail oder SMS, da die Opfer die Messaging-App nie verlassen.

FEMITBOT nutzt Telegram, um Opfer zu finden

Telegram Mini Apps sind kleine Web-Apps, die in Telegrams eigenem WebView funktionieren.

Sie ermöglichen es Benutzern, Zahlungen zu tätigen, auf Konten zuzugreifen und interaktive Tools zu nutzen, ohne eine separate App oder einen separaten Browser installieren zu müssen.

Die Leute, die FEMITBOT betreiben, haben diese Benutzerfreundlichkeit in eine Waffe verwandelt.

Wenn ein Opfer auf einem der gefälschten Bots auf „Start“ klickt, öffnet sich eine Mini-App, die eine Phishing-Seite anzeigt, die wie ein Krypto-Investitions-Dashboard aussieht.

Auf den Seiten werden gefälschte Kontostände und Einnahmen angezeigt, und oft gibt es Countdown-Timer oder zeitlich begrenzte Angebote, die den Leuten das Gefühl geben sollen, dass sie schnell handeln müssen.

Die finanzielle Entnahme erfolgt während des Auszahlungsprozesses.

Personen, die versuchen, sich ihre gefälschten Gewinne auszahlen zu lassen, wird gesagt, dass sie zunächst echtes Geld einzahlen oder Empfehlungsaufgaben erledigen müssen. Dies ist eine übliche Vorgehensweise bei Vorschusszahlungs- und Schweineschlachtbetrügereien.

FEMITBOT verkörpert Marken in großem Maßstab

Sicherheitsforscher bezeichnen die Architektur von FEMITBOT als „modular, vorlagengesteuert“.

Mit dem gemeinsamen Backend können Betreiber das Branding, die Sprachen und die visuellen Themen von Kampagnen ändern und dabei die gleiche Infrastruktur beibehalten.

Forscher von CTM360 bestätigten den Link, indem sie eine gemeinsame API-Antwortzeichenfolge „Willkommen bei der FEMITBOT-Plattform“ fanden, die von mehreren Phishing-Domains zurückgesendet wurde.

Einige der gefälschten Marken stammten aus der Kryptowelt, darunter Bitget, OKX, Binance und MoonPay.

Das breite Spektrum an Identitätsdiebstahl lässt vermuten, dass die Operation viele Menschen weltweit erreichen soll.

Die Kampagnen nutzen zudem werbeähnliches Tracking.

„Die beobachtete Infrastruktur integriert Conversion-Tracking-Mechanismen von Meta Platforms (Facebook/Instagram) und TikTok in ihren Betrieb“, schreiben Forscher von CTM360.

Einige FEMITBOT Mini-Apps verwenden Meta- und TikTok-Tracking-Pixel, um die Aktivitäten der Benutzer im Auge zu behalten, herauszufinden, wie viele Personen konvertieren, und die Leistung ihrer Kampagnen zu verbessern, indem sie Techniken direkt aus dem echten digitalen Marketing verwenden.

Betrüger verbreiten Malware über gefälschte APKs

Einige FEMITBOT Mini Apps begehen nicht nur Finanzbetrug, sondern verbreiten auch Android-Malware, die wie echte Apps aussieht.

Sicherheitsforscher fanden APK-Dateien, die vorgaben, von Marken wie Netflix, BBC, NVIDIA, CineTV, Coreweave und Claro zu stammen.

Das Unternehmen gab an, dass die APK-Dateien auf derselben Domain gehostet werden wie die API der Kampagne. Dies stellt sicher, dass die TLS-Zertifikate gültig sind und verhindert, dass Browser-Sicherheitswarnungen angezeigt werden, die Opfer alarmieren könnten.

Benutzer werden gebeten, die APK-Dateien von der Seite zu laden, Links im Browser der App zu öffnen oder progressive Web-Apps zu installieren, die wie echte Software aussehen.

Beispiele für bösartige APK-Dateien. Quelle: CTM350.

Die Malware-Komponente von FEMITBOT ist für Android-Benutzer am gefährlichsten.

Eine der häufigsten Möglichkeiten für mobile Malware, auf Ihr Telefon zu gelangen, ist das Querladen von APK-Dateien von außerhalb des Google Play Store.

Durch die Verwendung passender TLS-Zertifikate ist es bei FEMITBOT schwieriger, die Downloads auf den ersten Blick von echten Dateien zu unterscheiden.

Wenn ein Telegram-Bot Benutzer dazu auffordert, in Kryptowährungen zu investieren, unrealistische Renditen anzeigt oder von ihnen verlangt, Geld einzuzahlen, bevor sie Geld abheben können, sollten sie misstrauisch sein.

Countdown-Timer, Dringlichkeitstexte und Überweisungsanforderungen sind alles Anzeichen für Vorschussbetrug.