Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

FEMITBOT: Telegram Mini Apps для масштабного мошенничества

3 мин
Набор инструментов FEMITBOT, выявленный аналитиками CTM360, демонстрирует, как легкие веб-приложения Telegram Mini Apps могут использоваться для создания масштабной и модульной мошеннической инфраструктуры. По данным отчета, операция строится вокруг имитации легитимных сервисов, брендов и пользовательских сценариев, чтобы повысить доверие жертв и удерживать их в управляемой злоумышленниками среде. Исследование указывает на то, что несколько мошеннических Telegram Mini Apps работают поверх общей бэкенд-системы. Это подтверждается повторяющимся ответом API: “Welcome to join the FEMITBOT platform”. Такая формулировка, по оценке аналитиков, свидетельствует о скоординированной инфраструктуре, которая используется сразу в нескольких доменах. Ключевая особенность FEMITBOT — модульность. Она позволяет злоумышленникам быстро запускать новые схемы, не создавая для каждой из них полностью отдельную конфигурацию. В результате повышается гибкость операций и расширяется спектр возможных сценариев мо
Оглавление

Набор инструментов FEMITBOT, выявленный аналитиками CTM360, демонстрирует, как легкие веб-приложения Telegram Mini Apps могут использоваться для создания масштабной и модульной мошеннической инфраструктуры. По данным отчета, операция строится вокруг имитации легитимных сервисов, брендов и пользовательских сценариев, чтобы повысить доверие жертв и удерживать их в управляемой злоумышленниками среде.

Единая бэкенд-система и модульная архитектура

Исследование указывает на то, что несколько мошеннических Telegram Mini Apps работают поверх общей бэкенд-системы. Это подтверждается повторяющимся ответом API: “Welcome to join the FEMITBOT platform”. Такая формулировка, по оценке аналитиков, свидетельствует о скоординированной инфраструктуре, которая используется сразу в нескольких доменах.

Ключевая особенность FEMITBOT — модульность. Она позволяет злоумышленникам быстро запускать новые схемы, не создавая для каждой из них полностью отдельную конфигурацию. В результате повышается гибкость операций и расширяется спектр возможных сценариев мошенничества.

Имперсонация брендов и социальная инженерия

В основе тактик FEMITBOT лежит имперсонация известных брендов. В отчете упоминаются BBC, Netflix и Binance — использование знакомых логотипов и визуальных элементов помогает создавать фасад достоверности и усиливает вовлеченность пользователей.

Цепочка взаимодействия строится так, чтобы жертва постепенно втягивалась в сценарий:

  • нежелательная реклама на платформах, включая Meta;
  • переход к структурированному взаимодействию с ботом в Telegram;
  • получение кастомных приветственных сообщений внутри среды Mini App;
  • дальнейшие действия в интерфейсе, визуально схожем с легитимным сервисом.

Сбор данных через Telegram.WebApp.initData

Техническая часть схемы использует строку Telegram.WebApp.initData для скрытого извлечения данных идентификации пользователя. Этот механизм помогает злоумышленникам поддерживать дальнейшие процедуры аутентификации и связывать действия конкретного пользователя с мошеннической сессией.

Отдельно отмечается применение SDK Telegram WebApp, которое обеспечивает бесшовный пользовательский опыт. Именно это, по замыслу злоумышленников, маскирует вредоносную активность и снижает настороженность жертв.

Фишинговые сайты, встроенный браузер и tracking pixels

Связанные phishing-сайты тесно интегрированы с ботами Telegram. После перехода по рекламе пользователь оказывается в цепочке, которая направляет его к использованию встроенного browser, создавая иллюзию безопасной и легитимной среды.

В операции также используются tracking pixels от Meta и TikTok. Они позволяют отслеживать пользовательские взаимодействия и, как следует из отчета, оптимизировать мошеннические процессы на основе поведения потенциальных жертв.

Распространение ВПО через APK-файлы Android

Отдельную угрозу представляет возможность распространения ВПО, в частности через APK-файлы Android, которые жертвам предлагаются под видом обычных действий в приложении. Такой подход повышает вероятность того, что пользователь сам согласится на установку вредоносного компонента.

Для усиления давления и вовлечения используются дополнительные приемы, включая запросы “add to home screen” и просмотр контента внутри приложения. Эти элементы подаются как удобные и привычные функции, хотя на практике служат для облегчения доставки вредоносного ПО.

Вывод

FEMITBOT демонстрирует, насколько эффективно современные мошеннические кампании комбинируют Telegram Mini Apps, социальную инженерию, поддельные бренды, tracking pixels и элементы встроенной веб-среды. По сути, речь идет о хорошо организованной модульной платформе, которая позволяет злоумышленникам быстро масштабировать схемы, скрывать истинную природу операций и собирать пользовательские данные ради финансовой выгоды.

Как следует из отчета, главная опасность FEMITBOT заключается не только в технической сложности, но и в умении маскировать вредоносную активность под привычные цифровые сценарии, которыми ежедневно пользуются миллионы людей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "FEMITBOT: Telegram Mini Apps для масштабного мошенничества".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Социальные сети и мессенджеры
3094 интересуются