Golpistas transformam miniaplicativos do Telegram em armadilhas para fraudes com criptomoedas

A FEMITBOT, uma rede de golpes em larga escala, está usando o recurso Mini App do Telegram para operar plataformas de criptomoedas falsas, se passar por marcas conhecidas e distribuir malware prejudicial para Android. 

Segundo a CTM360, uma empresa de cibersegurança, a operação fraudulenta utiliza bots do Telegram e miniaplicativos incorporados para criar interfaces de phishing que carregam diretamente no navegador integrado do Telegram.

As páginas fraudulentas parecem mais realistas do que um link de phishing comum enviado por e-mail ou SMS, porque as vítimas nunca saem do aplicativo de mensagens.

FEMITBOT usa o Telegram para encontrar vítimas

Os Mini Apps do Telegram são pequenos aplicativos da web que funcionam dentro do próprio WebView do Telegram.

Elas permitem que os usuários façam pagamentos, acessem contas e usem ferramentas interativas sem precisar instalar um aplicativo ou navegador separado.

As pessoas que administram o FEMITBOT transformaram essa facilidade de uso em uma arma.

Quando uma vítima clica em "Iniciar" em um dos bots falsos, um miniaplicativo é aberto, exibindo uma página de phishing que aparenta ser um painel de investimento em criptomoedas.

As páginas exibem saldos e ganhos de contas falsos e, frequentemente, apresentam cronômetros de contagem regressiva ou ofertas por tempo limitado, com o objetivo de fazer as pessoas sentirem que precisam agir rapidamente.

Atracfinanceira ocorre durante o processo de saque.

As pessoas que tentam cash seus ganhos falsos são informadas de que primeiro precisam depositar dinheiro real ou realizar tarefas de indicação. Essa é uma maneira comum de golpes de adiantamento de taxas e abate de porcos funcionarem.

FEMITBOT imita marcas em grande escala

Pesquisadores de segurança descrevem a arquitetura do FEMITBOT como "modular e baseada em modelos".

O backend compartilhado permite que os operadores alterem a marca, os idiomas e os temas visuais das campanhas, mantendo a mesma infraestrutura.

Pesquisadores da CTM360 confirmaram a ligação ao encontrarem uma string de resposta comum na API, “Bem-vindo(a) à plataforma FEMITBOT”, que era enviada por diversos domínios de phishing.

Algumas das marcas falsas eram do mundo das criptomoedas, incluindo Bitget, OKX, Binancee MoonPay.

A ampla variedade de casos de falsificação de identidade sugere que a operação visa atingir um grande número de pessoas em todo o mundo.

As campanhas também utilizam tracsemelhante ao da publicidade.

“A infraestrutura observada integra mecanismos tracde conversões de Meta Plataformas (Facebook/Instagram) e TikTok em suas operações”, escreveram os pesquisadores da CTM360.

Alguns Mini Aplicativos da FEMITBOT usam pixels de tracdo Meta e do TikTok para monitorar as atividades dos usuários, descobrir quantas pessoas convertem e melhorar o desempenho de suas campanhas, utilizando técnicas diretamente do marketing digital tradicional.

Golpistas distribuem malware através de APKs falsos

Alguns miniaplicativos FEMITBOT não apenas cometem fraudes financeiras, mas também disseminam malware para Android que se disfarçam de aplicativos legítimos.

Pesquisadores de segurança encontraram arquivos APK que se faziam passar por marcas como Netflix, BBC, NVIDIA, CineTV, Coreweave e Claro.

A empresa afirmou que os arquivos APK estão hospedados no mesmo domínio da API da campanha. Isso garante que os certificados TLS sejam válidos e evita que avisos de segurança do navegador sejam exibidos, o que poderia alertar as vítimas.

Os usuários são solicitados a instalar arquivos APK manualmente, abrir links no navegador do aplicativo ou instalar aplicativos da web progressivos que se parecem com softwares legítimos.

O componente malicioso do FEMITBOT é mais perigoso para usuários do Android.

Uma das formas mais comuns de malware para dispositivos móveis infectarem seu telefone é através da instalação de arquivos APK de fontes externas à Google Play Store.

O uso de certificados TLS correspondentes pelo FEMITBOT torna seus downloads mais difíceis de distinguir de arquivos reais à primeira vista.

Se um bot do Telegram incentivar os usuários a investir em criptomoedas, mostrar retornos irreais ou exigir que depositem dinheiro antes de poderem sacar fundos, eles devem ficar atentos.

Cronômetros de contagem regressiva, linguagem que cria urgência e exigências de encaminhamento são todos sinais de fraude com pagamento antecipado.