Pesquisadores de cibersegurança descobriram uma operação fraudulenta em larga escala que usa o recurso Mini App do Telegram para aplicar golpes com criptomoedas, se passar por marcas conhecidas e distribuir malware para Android.
Um novo relatório da CTM360 afirma que a plataforma, apelidada de FEMITBOT, foi identificada a partir de uma sequência encontrada em respostas de API e usa bots do Telegram e Mini Apps incorporados para criar experiências convincentes, semelhantes a aplicativos, diretamente dentro do mensageiro.
Os Telegram Mini Apps são aplicações leves que rodam dentro do navegador integrado ao Telegram, permitindo serviços como pagamentos, acesso a contas e ferramentas interativas sem que o usuário precise sair do app.
Segundo o relatório da CTM360, a plataforma FEMITBOT é usada para diferentes tipos de golpes, incluindo plataformas falsas de criptomoedas, serviços financeiros, ferramentas de IA e sites de streaming.
Em várias campanhas, os threat actors se passaram por marcas amplamente reconhecidas para aumentar a credibilidade e a interação, usando a mesma infraestrutura de back-end com domínios e bots do Telegram diferentes.
Entre as marcas imitadas nesta campanha estão Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA e YouKu.
Os pesquisadores afirmam que a atividade utiliza um back-end compartilhado, no qual vários domínios de phishing usam a mesma resposta de API, "Welcome to join the FEMITBOT platform", indicando que todos operam sobre a mesma infraestrutura.
A operação usa bots do Telegram para exibir sites de phishing diretamente na plataforma.
Quando o usuário interage com um bot e clica em "Start", o bot abre um Mini App que mostra uma página de phishing no WebView integrado do Telegram, fazendo parecer que ela faz parte do próprio aplicativo.
Depois de entrar, as vítimas veem painéis com saldos ou “ganhos” falsos, muitas vezes acompanhados de contadores regressivos ou ofertas por tempo limitado para criar senso de urgência.
Quando tentam sacar os fundos, os usuários são orientados a fazer um depósito ou concluir tarefas de indicação, uma tática comum em golpes de investimento e de cobrança antecipada.
Os pesquisadores dizem que a infraestrutura foi projetada para ser reutilizada em diferentes campanhas, permitindo que os atacantes troquem facilmente a identidade visual, os idiomas e os temas.
As campanhas também usam scripts de rastreamento, como pixels de rastreamento da Meta e do TikTok, para monitorar a atividade dos usuários, medir conversões e, provavelmente, otimizar o desempenho.
Alguns Mini Apps também tentaram distribuir malware na forma de APKs para Android que imitavam marcas como BBC, NVIDIA, CineTV, Coreweave e Claro.
Os usuários são orientados a baixar arquivos APK para Android, abrir links dentro do navegador do próprio app ou instalar aplicativos web progressivos que imitam softwares legítimos.
"Os nomes dos arquivos APK são escolhidos com cuidado para se parecerem com aplicativos legítimos ou usar nomes aleatórios que não levantem suspeitas de imediato", explica a CTM360.
"Os APKs são hospedados no mesmo domínio da API, garantindo a validade do certificado TLS e evitando alertas de conteúdo misto no navegador."
Os usuários devem ter cautela ao interagir com bots do Telegram que promovem investimentos em criptomoedas ou pedem que eles iniciem Mini Apps, especialmente se houver solicitação de depósito ou download de aplicativos.
Como regra geral, usuários de Android devem evitar o sideload de arquivos APK, que são comumente usados para distribuir malware fora da Google Play Store.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...