Крипто-мошенники используют мини-приложения Telegram в качестве оружия для поддельных платформ

FEMITBOT, крупная мошенническая сеть, использует функцию мини-приложения Telegram для запуска поддельных криптоплатформ, выдачи себя за известные бренды и рассылки вредоносных вредоносных программ для Android.

По данным компании CTM360, занимающейся кибербезопасностью, в мошеннической операции используются боты Telegram и встроенные мини-приложения для создания фишинговых интерфейсов, которые загружаются непосредственно во встроенный браузер Telegram.

Мошеннические страницы выглядят более реалистично, чем обычные фишинговые ссылки, отправленные по электронной почте или SMS, поскольку жертвы никогда не покидают приложение для обмена сообщениями.

FEMITBOT использует Telegram для поиска жертв

Мини-приложения Telegram — это небольшие веб-приложения, которые работают внутри собственного WebView Telegram.

Они позволяют пользователям совершать платежи, получать доступ к счетам и использовать интерактивные инструменты без необходимости устанавливать отдельное приложение или браузер.

Люди, управляющие FEMITBOT, превратили эту простоту использования в оружие.

Когда жертва нажимает «Старт» на одном из поддельных ботов, открывается мини-приложение, отображающее фишинговую страницу, которая выглядит как панель управления криптовалютными инвестициями.

На страницах показаны поддельные балансы счетов и доходы, а также часто имеются таймеры обратного отсчета или предложения с ограниченным сроком действия, которые призваны заставить людей почувствовать необходимость действовать быстро.

Извлечение финансовых средств происходит во время процесса вывода средств.

Людям, которые пытаются обналичить свои фальшивые выигрыши, говорят, что они должны сначала внести реальные деньги или выполнить реферальные задания. Это распространенный способ мошенничества с предоплатой и забоем свиней.

FEMITBOT олицетворяет бренды в масштабе

Исследователи безопасности называют архитектуру FEMITBOT «модульной, управляемой шаблонами».

Общий бэкэнд позволяет операторам менять брендинг, языки и визуальные темы кампаний, сохраняя при этом ту же инфраструктуру.

Исследователи из CTM360 подтвердили ссылку, обнаружив общую строку ответа API «Добро пожаловать на платформу FEMITBOT», отправленную обратно несколькими фишинговыми доменами.

Некоторые из поддельных брендов были из мира криптовалют, включая Bitget, OKX, Binance и MoonPay.

Широкий спектр подражаний предполагает, что операция предназначена для охвата большого количества людей по всему миру.

В кампаниях также используется отслеживание, аналогичное рекламе.

«Обнаруженная инфраструктура интегрирует в свою деятельность механизмы отслеживания конверсий с мета-платформ (Facebook/Instagram) и TikTok», — пишут исследователи из CTM360.

Некоторые мини-приложения FEMITBOT используют отслеживающие пиксели Meta и TikTok, чтобы следить за тем, что делают пользователи, определять, сколько людей совершают конверсии, и повышать эффективность своих кампаний, используя методы, взятые непосредственно из реального цифрового маркетинга.

Мошенники распространяют вредоносное ПО через поддельные APK-файлы

Некоторые мини-приложения FEMITBOT не только совершают финансовые мошенничества, но и распространяют вредоносное ПО для Android, которое выглядит как настоящие приложения.

Исследователи безопасности обнаружили APK-файлы, выдававшие себя за такие бренды, как Netflix, BBC, NVIDIA, CineTV, Coreweave и Claro.

Фирма заявила, что APK-файлы размещены в том же домене, что и API кампании. Это гарантирует, что сертификаты TLS действительны, и предотвращает появление предупреждений безопасности браузера, которые могут предупредить жертв.

Пользователям предлагается загружать APK-файлы, открывать ссылки в браузере приложения или устанавливать прогрессивные веб-приложения, которые выглядят как настоящие программы.

Примеры вредоносных APK-файлов. Источник: CTM350.

Вредоносный компонент FEMITBOT наиболее опасен для людей, использующих Android.

Одним из наиболее распространенных способов проникновения мобильного вредоносного ПО на ваш телефон является неопубликованная загрузка APK-файлов из-за пределов Google Play Store.

Использование FEMITBOT соответствующих сертификатов TLS затрудняет различение загрузок с реальных файлов с первого взгляда.

Если бот Telegram советует пользователям инвестировать в криптовалюту, показывает нереальную прибыль или требует от них внести деньги, прежде чем они смогут вывести средства, им следует насторожиться.

Таймеры обратного отсчета, срочность и требования к направлениям — все это признаки мошенничества с предоплатой.