Les escrocs crypto utilisent les applications Telegram Mini pour de fausses plateformes

FEMITBOT, un réseau frauduleux à grande échelle, utilise la fonctionnalité Mini App de Telegram pour exécuter de fausses plateformes de cryptographie, usurper l'identité de marques bien connues et envoyer des logiciels malveillants Android nuisibles.

Selon CTM360, une société de cybersécurité, l’opération frauduleuse utilise des robots Telegram et des mini-applications intégrées pour créer des interfaces de phishing qui se chargent directement dans le navigateur intégré de Telegram.

Les pages frauduleuses semblent plus réalistes qu’un lien de phishing classique envoyé par e-mail ou SMS, car les victimes ne quittent jamais l’application de messagerie.

FEMITBOT utilise Telegram pour retrouver des victimes

Les mini-applications Telegram sont de petites applications Web qui fonctionnent dans la WebView de Telegram.

Ils permettent aux utilisateurs d'effectuer des paiements, d'accéder à des comptes et d'utiliser des outils interactifs sans avoir à installer une application ou un navigateur distinct.

Les personnes qui dirigent FEMITBOT ont fait de cette facilité d’utilisation une arme.

Lorsqu'une victime clique sur « Démarrer » sur l'un des faux robots, une mini-application s'ouvre, affichant une page de phishing qui semble être un tableau de bord d'investissement cryptographique.

Les pages affichent de faux soldes de comptes et de faux revenus, et elles comportent souvent des comptes à rebours ou des offres à durée limitée destinées à donner aux gens le sentiment qu'ils doivent agir rapidement.

L'extraction financière a lieu pendant le processus de retrait.

Les personnes qui tentent d’encaisser leurs faux gains se font dire qu’elles doivent d’abord déposer de l’argent réel ou effectuer des tâches de parrainage. Il s’agit d’un moyen courant pour les escroqueries liées aux avances de fonds et à la boucherie de porcs.

FEMITBOT usurpe l'identité des marques à grande échelle

Les chercheurs en sécurité qualifient l’architecture de FEMITBOT de « modulaire, basée sur des modèles ».

Le backend partagé permet aux opérateurs de modifier la marque, les langues et les thèmes visuels des campagnes tout en conservant la même infrastructure.

Les chercheurs de CTM360 ont confirmé le lien en trouvant une chaîne de réponse API commune, « Bienvenue sur la plateforme FEMITBOT », qui a été renvoyée par plusieurs domaines de phishing.

Certaines des fausses marques provenaient du monde de la cryptographie, notamment Bitget, OKX, Binance et MoonPay.

Le large éventail d’usurpations d’identité suggère que l’opération est destinée à toucher un grand nombre de personnes dans le monde entier.

Les campagnes utilisent également un suivi similaire à la publicité.

« L'infrastructure observée intègre les mécanismes de suivi des conversions des méta-plateformes (Facebook/Instagram) et TikTok dans ses opérations », ont écrit les chercheurs de CTM360.

Certaines mini-applications FEMITBOT utilisent les pixels de suivi Meta et TikTok pour garder un œil sur ce que font les utilisateurs, déterminer combien de personnes convertissent et améliorer les performances de leurs campagnes, en utilisant des techniques directement issues du véritable marketing numérique.

Les fraudeurs diffusent des logiciels malveillants via de faux APK

Certaines mini-applications FEMITBOT commettent non seulement des fraudes financières, mais propagent également des logiciels malveillants Android qui ressemblent à de vraies applications.

Les chercheurs en sécurité ont trouvé des fichiers APK prétendant provenir de marques telles que Netflix, BBC, NVIDIA, CineTV, Coreweave et Claro.

La société a indiqué que les fichiers APK sont hébergés sur le même domaine que l’API de la campagne. Cela garantit que les certificats TLS sont valides et empêche les avertissements de sécurité du navigateur de s'afficher, ce qui pourrait alerter les victimes.

Les utilisateurs sont invités à télécharger les fichiers APK, à ouvrir des liens dans le navigateur de l’application ou à installer des applications Web progressives qui ressemblent à de vrais logiciels.

Exemples de fichiers APK malveillants. Source : CTM350.

Le composant malveillant de FEMITBOT est le plus dangereux pour les personnes qui utilisent Android.

L’un des moyens les plus courants pour les logiciels malveillants mobiles d’accéder à votre téléphone consiste à télécharger des fichiers APK depuis l’extérieur du Google Play Store.

L’utilisation par FEMITBOT de certificats TLS correspondants rend ses téléchargements plus difficiles à distinguer des fichiers réels en un coup d’œil.

Si un robot Telegram demande aux utilisateurs d’investir dans la cryptographie, affiche des rendements irréalistes ou leur demande de déposer de l’argent avant de pouvoir retirer des fonds, ils devraient se méfier.

Les comptes à rebours, les termes d'urgence et les exigences de référence sont tous des signes de fraude aux frais anticipés.