加密货币诈骗者将 Telegram Mini Apps 用作虚假平台的武器

FEMITBOT 是一个大规模诈骗网络，它利用 Telegram 的迷你应用程序功能来运行虚假加密平台、冒充知名品牌并发送有害的 Android 恶意软件。

据网络安全公司 CTM360 称，该骗局操作使用 Telegram 机器人和嵌入式迷你应用程序来创建直接加载到 Telegram 内置浏览器中的网络钓鱼界面。

诈骗页面看起来比通过电子邮件或短信发送的常规网络钓鱼链接更真实，因为受害者永远不会离开消息应用程序。

FEMITBOT 使用 Telegram 寻找受害者

Telegram Mini Apps 是在 Telegram 自己的 WebView 中运行的小型 Web 应用程序。

它们允许用户进行付款、访问帐户和使用交互式工具，而无需安装单独的应用程序或浏览器。

FEMITBOT 的运营者将这种易用性变成了一种武器。

当受害者在其中一个假机器人上单击“开始”时，就会打开一个迷你应用程序，显示一个似乎是加密货币投资仪表板的网络钓鱼页面。

这些页面显示虚假的账户余额和收入，并且通常有倒计时器或限时优惠，旨在让人们觉得他们需要迅速采取行动。

财务提取发生在提款过程中。

试图兑现假​​奖金的人被告知，他们必须先存入真钱或完成推荐任务。这是预付费用和杀猪诈骗的常见方式。

FEMITBOT 大规模模仿品牌

安全研究人员将 FEMITBOT 的架构称为“模块化、模板驱动”的架构。

共享后端允许运营商更改营销活动的品牌、语言和视觉主题，同时保持相同的基础设施。

CTM360 的研究人员通过发现多个网络钓鱼域发回的通用 API 响应字符串“欢迎加入 FEMITBOT 平台”来确认该链接。

一些假冒品牌来自加密世界，包括 Bitget、OKX、Binance 和 MoonPay。

广泛的冒充行为表明，该行动的目的是影响世界各地的许多人。

这些活动还使用类似于广告的跟踪。

CTM360 的研究人员写道：“观察到的基础设施在其运营中集成了 Meta Platforms（Facebook/Instagram）和 TikTok 的转化跟踪机制。”

一些 FEMITBOT 迷你应用程序使用 Meta 和 TikTok 跟踪像素来密切关注用户的行为，找出有多少人进行了转化，并使用直接来自真实数字营销的技术来提高其营销活动的效果。

诈骗者通过虚假 APK 传播恶意软件

一些 FEMITBOT 迷你应用程序不仅会进行财务欺诈，还会传播看起来像真实应用程序的 Android 恶意软件。

安全研究人员发现了冒充来自 Netflix、BBC、NVIDIA、CineTV、Coreweave 和 Claro 等品牌的 APK 文件。

该公司表示，APK 文件与该活动的 API 托管在同一域中。这可以确保 TLS 证书有效，并防止浏览器出现可能提醒受害者的安全警告。

用户被要求旁加载 APK 文件、在应用程序浏览器中打开链接或安装看起来像真实软件的渐进式 Web 应用程序。

恶意 APK 文件的示例。资料来源：CTM350。

FEMITBOT 的恶意软件组件对于使用 Android 的用户来说是最危险的。

移动恶意软件进入您手机的最常见方法之一是从 Google Play 商店外部侧载 APK 文件。

FEMITBOT 使用匹配的 TLS 证书，使其下载的文件与真实文件更难以一眼区分。

如果 Telegram 机器人告诉用户投资加密货币，显示不切实际的回报，或者要求他们先存钱才能提取资金，他们应该感到怀疑。

倒计时器、紧急语言和推荐要求都是预付费欺诈的迹象。