Onderzoekers op het gebied van cyberbeveiliging hebben een aanzienlijke fraudeoperatie geïdentificeerd waarbij gebruik wordt gemaakt van de Mini App-functie van Telegram voor oplichting met cryptocurrency, nabootsing van merknamen en de distributie van Android-malware. De operatie, bekend als FEMITBOT, maakt gebruik van Telegram-bots en ingebedde mini-apps om overtuigende ervaringen rechtstreeks binnen de app te leveren.
Het CTM360-rapport geeft aan dat FEMITBOT verschillende vormen van oplichting uitvoert, waaronder valse cryptocurrency-platforms en frauduleuze financiële diensten, door zich voor te doen als bekende merken. Deze tactiek vergroot de geloofwaardigheid van de operatie, waardoor nietsvermoedende gebruikers kunnen worden betrokken.
Merken als Apple, Coca-Cola, Disney en IBM zijn nagebootst en maken gebruik van een gemeenschappelijke infrastructuur met meerdere phishing-domeinen die hetzelfde API-antwoord delen: “Welkom bij het FEMITBOT-platform.” Dit duidt op een uniforme backend voor de fraudeoperatie.
Telegram-bots presenteren phishing-sites binnen het platform zelf. Gebruikers die met deze bots communiceren en op “Start” klikken, worden doorgestuurd naar een mini-app die een phishing-pagina weergeeft in de ingebouwde WebView van Telegram. Slachtoffers krijgen vaak nepdashboards te zien die fictieve saldi of inkomsten weergeven, aangevuld met afteltimers om urgentie te creëren.
Terwijl gebruikers proberen geld op te nemen, worden ze gevraagd meer geld te storten of verschillende verwijzingstaken uit te voeren, een tactiek die vaak wordt waargenomen bij oplichting. De infrastructuur die FEMITBOT ondersteunt, maakt snelle aanpassingen in verschillende campagnes mogelijk, waardoor het voor de aanvallers gemakkelijk wordt om de branding, talen en thema’s aan te passen.
Bovendien bevatten de oplichtingscampagnes trackingscripts zoals Meta- en TikTok-pixels om de gebruikersactiviteit te monitoren en de betrokkenheid te optimaliseren. Sommige Mini Apps verspreiden Android-malware en imiteren merken als de BBC en NVIDIA. Gebruikers worden vaak aangespoord om APK-bestanden te downloaden of links in de in-app-browser te openen, wat leidt tot mogelijk schadelijke software-installaties.
CTM360 legt uit: “De APK-bestandsnamen zijn zorgvuldig gekozen om op legitieme applicaties te lijken of om willekeurig uitziende namen te gebruiken die niet onmiddellijk argwaan wekken.” De APK’s worden gehost op hetzelfde domein als de API, waardoor geldige TLS-certificaten worden gegarandeerd om browserwaarschuwingen te voorkomen.
Experts adviseren gebruikers om voorzichtig te zijn met Telegram-bots die crypto-investeringen suggereren, vooral degenen die om stortingen of app-downloads vragen. Android-gebruikers worden ook gewaarschuwd om het sideloaden van APK-bestanden te vermijden, omdat deze praktijken vaak leiden tot verspreiding van malware buiten de Google Play Store.
