I truffatori trasformano le mini-app di Telegram in trappole per frodi legate alle criptovalute

FEMITBOT, una vasta rete di truffe, utilizza la funzionalità Mini App di Telegram per gestire false piattaforme di criptovalute, impersonare marchi noti e diffondere malware dannoso per Android. 

Secondo CTM360, un'azienda di sicurezza informatica, l'operazione fraudolenta utilizza bot di Telegram e mini-app incorporate per creare interfacce di phishing che si caricano direttamente nel browser integrato di Telegram.

Le pagine truffa sembrano più realistiche di un normale link di phishing inviato via email o SMS perché le vittime non escono mai dall'applicazione di messaggistica.

FEMITBOT usa Telegram per trovare le vittime

Le Mini App di Telegram sono piccole applicazioni web che funzionano all'interno della WebView di Telegram.

Consentono agli utenti di effettuare pagamenti, accedere ai propri account e utilizzare strumenti interattivi senza dover installare un'app o un browser separati.

Le persone che gestiscono FEMITBOT hanno trasformato questa facilità d'uso in un'arma.

Quando una vittima clicca su "Avvia" su uno dei bot falsi, si apre una mini-app che mostra una pagina di phishing che sembra essere una dashboard di investimento in criptovalute.

Le pagine mostrano saldi e guadagni falsi e spesso presentano timer per il conto alla rovescia o offerte a tempo limitato, pensate per indurre le persone ad agire in fretta.

L'tracfinanziaria avviene durante la procedura di prelievo.

Alle persone che cercano di cash le loro finte vincite viene detto che prima devono depositare denaro reale o completare delle attività di referral. Questo è un metodo comune utilizzato nelle truffe con richiesta di pagamento anticipato e con la pratica della macellazione di maiali.

FEMITBOT imita i marchi su vasta scala

I ricercatori nel campo della sicurezza definiscono l'architettura di FEMITBOT come "modulare e basata su modelli".

Il backend condiviso permette agli operatori di modificare il marchio, le lingue e i temi visivi delle campagne mantenendo la stessa infrastruttura.

I ricercatori di CTM360 hanno confermato il collegamento individuando una stringa di risposta API comune, "Benvenuti sulla piattaforma FEMITBOT", che veniva inviata da diversi domini di phishing.

Alcuni dei marchi falsi provenivano dal mondo delle criptovalute, tra cui Bitget, OKX, Binancee MoonPay.

L'ampia gamma di persone coinvolte nelle impersonificazioni suggerisce che l'operazione sia mirata a raggiungere un vasto pubblico in tutto il mondo.

Le campagne utilizzano anche un sistema tracsimile alla pubblicità.

"L'infrastruttura osservata integra al suo interno meccanismi tracdelle conversioni provenienti da Meta Piattaforme (Facebook/Instagram) e TikTok", hanno scritto i ricercatori di CTM360.

Alcune mini app di FEMITBOT utilizzano i pixel di tracMeta e TikTok per monitorare le attività degli utenti, capire quante persone effettuano conversioni e migliorare le prestazioni delle loro campagne, impiegando tecniche derivate direttamente dal marketing digitale reale.

I truffatori distribuiscono malware tramite APK falsi

Alcune mini app FEMITBOT non solo commettono frodi finanziarie, ma diffondono anche malware per Android che imitano app legittime.

Alcuni ricercatori di sicurezza hanno scoperto file APK che si spacciavano per marchi come Netflix, BBC, NVIDIA, CineTV, Coreweave e Claro.

L'azienda ha dichiarato che i file APK sono ospitati sullo stesso dominio dell'API della campagna. Questo garantisce la validità dei certificati TLS e impedisce la visualizzazione di avvisi di sicurezza del browser, che potrebbero allertare le vittime.

Agli utenti viene chiesto di installare i file APK manualmente, aprire i link nel browser dell'app o installare progressive web app che sembrano veri e propri software.

La componente malware di FEMITBOT è particolarmente pericolosa per gli utenti Android.

Uno dei metodi più comuni con cui i malware per dispositivi mobili si insinuano nei telefoni è l'installazione di file APK da fonti esterne al Google Play Store.

L'utilizzo da parte di FEMITBOT di certificati TLS corrispondenti rende più difficile distinguere a prima vista i suoi download dai file legittimi.

Se un bot di Telegram invita gli utenti a investire in criptovalute, mostra rendimenti irrealistici o richiede un deposito prima di poter prelevare i fondi, è opportuno insospettirsi.

I timer per il conto alla rovescia, il linguaggio che crea urgenza e la richiesta di una prescrizione medica sono tutti segnali di frode con pagamento anticipato.