Мошенники превращают мини-приложения Telegram в ловушки для криптовалютного мошенничества

FEMITBOT, крупная мошенническая сеть, использует функцию мини-приложений Telegram для запуска поддельных криптовалютных платформ, выдачи себя за известные бренды и распространения вредоносного ПО для Android. 

По данным компании CTM360, специализирующейся на кибербезопасности, мошенническая схема использует ботов Telegram и встроенные мини-приложения для создания фишинговых интерфейсов, которые загружаются непосредственно во встроенный браузер Telegram.

Мошеннические страницы выглядят более реалистично, чем обычные фишинговые ссылки, отправляемые по электронной почте или SMS, потому что жертвы никогда не покидают мессенджер.

FEMITBOT использует Telegram для поиска жертв

Мини-приложения Telegram — это небольшие веб-приложения, работающие внутри собственного WebView Telegram.

Они позволяют пользователям совершать платежи, получать доступ к учетным записям и использовать интерактивные инструменты без необходимости установки отдельного приложения или браузера.

Создатели FEMITBOT превратили простоту использования в оружие.

Когда жертва нажимает кнопку «Старт» в одном из поддельных ботов, открывается мини-приложение, отображающее фишинговую страницу, которая выглядит как панель управления инвестициями в криптовалюту.

На этих страницах отображаются фиктивные балансы счетов и доходы, а также часто присутствуют таймеры обратного отсчета или предложения, ограниченные по времени, призванные заставить людей действовать быстро.

tracфинансовых средств происходит в процессе вывода средств.

Людям, пытающимся cash свой фиктивный выигрыш, говорят, что сначала им нужно внести реальные деньги или выполнить реферальные задания. Это распространенный способ мошенничества с предоплатой и подделкой свиней.

FEMITBOT имитирует бренды в больших масштабах

Исследователи в области безопасности называют архитектуру FEMITBOT «модульной, основанной на шаблонах».

Общая серверная часть позволяет операторам изменять фирменную символику, языки и визуальные темы кампаний, сохраняя при этом ту же инфраструктуру.

Исследователи из CTM360 подтвердили связь, обнаружив общую строку ответа API: «Добро пожаловать на платформу FEMITBOT», которая отправлялась несколькими фишинговыми доменами.

Среди поддельных брендов были компании из мира криптовалют, в том числе Bitget, OKX, Binanceи MoonPay.

Широкий спектр способов подделки личности говорит о том, что операция рассчитана на охват большого количества людей по всему миру.

В рекламных кампаниях также используется tracKing, аналогичный рекламному инструменту.

«В исследуемой инфраструктуре интегрированы механизмы tracконверсий с метаплатформ (Facebook/Instagram) и TikTok», — написали исследователи из CTM360.

Некоторые мини-приложения FEMITBOT используют пиксели tracMeta и TikTok, чтобы следить за действиями пользователей, определять количество конверсий и повышать эффективность своих кампаний, применяя методы, заимствованные непосредственно из реального цифрового маркетинга.

Мошенники распространяют вредоносное ПО через поддельные APK-файлы

Некоторые мини-приложения FEMITBOT не только совершают финансовое мошенничество, но и распространяют вредоносное ПО для Android, которое выглядит как настоящие приложения.

Специалисты по информационной безопасности обнаружили APK-файлы, которые выдавали себя за файлы таких брендов, как Netflix, BBC, NVIDIA, CineTV, Coreweave и Claro.

Компания заявила , что APK-файлы размещены на том же домене, что и API кампании. Это гарантирует действительность TLS-сертификатов и предотвращает появление предупреждений безопасности в браузере, которые могли бы привлечь внимание жертв.

Пользователям предлагается загрузить APK-файлы из сторонних источников, открыть ссылки в браузере приложения или установить прогрессивные веб-приложения, которые выглядят как настоящее программное обеспечение.

Вредоносный компонент FEMITBOT наиболее опасен для пользователей Android.

Один из наиболее распространенных способов проникновения вредоносных программ на мобильные устройства — это установка APK-файлов из источников, отличных от Google Play Store.

Использование FEMITBOT совпадающих TLS-сертификатов затрудняет распознавание загружаемых файлов как реальных с первого взгляда.

Если Telegram-бот рекомендует пользователям инвестировать в криптовалюту, показывает нереалистичную доходность или требует внесения депозита перед выводом средств, это должно вызвать подозрения.

Таймеры обратного отсчета, формулировки, призывающие к срочности, и требования о предоставлении рекомендаций — все это признаки мошенничества с предоплатой.