Los estafadores criptográficos utilizan las Mini aplicaciones de Telegram como arma para plataformas falsas

FEMITBOT, una red de estafas a gran escala, está utilizando la función Mini App de Telegram para ejecutar plataformas criptográficas falsas, hacerse pasar por marcas conocidas y enviar malware dañino para Android.

Según CTM360, una empresa de ciberseguridad, la operación fraudulenta utiliza bots de Telegram y miniaplicaciones integradas para crear interfaces de phishing que se cargan directamente en el navegador integrado de Telegram.

Las páginas fraudulentas parecen más realistas que un enlace de phishing normal enviado por correo electrónico o SMS porque las víctimas nunca abandonan la aplicación de mensajería.

FEMITBOT utiliza Telegram para encontrar víctimas

Las Telegram Mini Apps son pequeñas aplicaciones web que funcionan dentro del propio WebView de Telegram.

Permiten a los usuarios realizar pagos, acceder a cuentas y utilizar herramientas interactivas sin tener que instalar una aplicación o un navegador por separado.

Las personas que dirigen FEMITBOT han convertido esta facilidad de uso en un arma.

Cuando una víctima hace clic en "Iniciar" en uno de los bots falsos, se abre una mini aplicación que muestra una página de phishing que parece ser un panel de inversión en criptomonedas.

Las páginas muestran saldos de cuentas y ganancias falsos y, a menudo, tienen temporizadores de cuenta regresiva u ofertas por tiempo limitado que tienen como objetivo hacer que las personas sientan que deben actuar rápidamente.

La extracción financiera tiene lugar durante el proceso de retiro.

A las personas que intentan retirar sus ganancias falsas se les dice que primero deben depositar dinero real o realizar tareas de referencia. Esta es una forma común en que funcionan las estafas de pago por adelantado y matanza de cerdos.

FEMITBOT se hace pasar por marcas a escala

Los investigadores de seguridad llaman a la arquitectura de FEMITBOT “modular, basada en plantillas”.

El backend compartido permite a los operadores cambiar la marca, los idiomas y los temas visuales de las campañas manteniendo la misma infraestructura.

Los investigadores de CTM360 confirmaron el vínculo al encontrar una cadena de respuesta API común, "Bienvenido a unirse a la plataforma FEMITBOT", que fue enviada por varios dominios de phishing.

Algunas de las marcas falsas eran del mundo de las criptomonedas, incluidas Bitget, OKX, Binance y MoonPay.

La amplia gama de suplantaciones sugiere que la operación está destinada a llegar a muchas personas en todo el mundo.

Las campañas también utilizan un seguimiento similar a la publicidad.

"La infraestructura observada integra mecanismos de seguimiento de conversiones de MetaPlataformas (Facebook/Instagram) y TikTok dentro de sus operaciones", escribieron investigadores de CTM360.

Algunas miniaplicaciones FEMITBOT utilizan píxeles de seguimiento Meta y TikTok para controlar lo que hacen los usuarios, determinar cuántas personas realizan conversiones y mejorar el rendimiento de sus campañas, utilizando técnicas directamente del marketing digital real.

Los estafadores distribuyen malware a través de APK falsos

Algunas miniaplicaciones FEMITBOT no solo cometen fraude financiero, sino que también propagan malware para Android que parece aplicaciones reales.

Los investigadores de seguridad encontraron archivos APK que pretendían ser de marcas como Netflix, BBC, NVIDIA, CineTV, Coreweave y Claro.

La firma dijo que los archivos APK están alojados en el mismo dominio que la API de la campaña. Esto garantiza que los certificados TLS sean válidos y evita que aparezcan advertencias de seguridad del navegador, lo que podría alertar a las víctimas.

Se pide a los usuarios que descarguen los archivos APK, abran enlaces en el navegador de la aplicación o instalen aplicaciones web progresivas que parecen software real.

Ejemplos de archivos APK maliciosos. Fuente: CTM350.

El componente de malware de FEMITBOT es más peligroso para las personas que usan Android.

Una de las formas más comunes para que el malware móvil ingrese a su teléfono es mediante la descarga de archivos APK desde fuera de Google Play Store.

El uso por parte de FEMITBOT de certificados TLS coincidentes hace que sus descargas sean más difíciles de distinguir de los archivos reales de un vistazo.

Si un bot de Telegram les dice a los usuarios que inviertan en criptomonedas, muestra rendimientos poco realistas o les exige que depositen dinero antes de poder retirar fondos, deberían sospechar.

Los cronómetros de cuenta regresiva, el lenguaje de urgencia y los requisitos de referencia son signos de fraude en las tarifas por adelantado.