诈骗分子将 Telegram 小程序变成加密货币诈骗陷阱

FEMITBOT 是一个大规模诈骗网络，它利用 Telegram 的迷你应用功能运行虚假的加密货币平台，冒充知名品牌，并散布有害的 Android 恶意软件。. 

据网络安全公司 CTM360 称，该诈骗活动利用 Telegram 机器人和嵌入式小程序创建钓鱼界面，这些界面直接在 Telegram 的内置浏览器中加载。.

诈骗页面看起来比通过电子邮件或短信发送的普通钓鱼链接更逼真，因为受害者从未离开过即时通讯应用程序。.

FEMITBOT 利用 Telegram 寻找受害者

Telegram 小程序是在 Telegram 自带的 WebView 中运行的小型 Web 应用程序。.

它们使用户无需安装单独的应用程序或浏览器即可进行支付、访问帐户和使用交互式工具。.

FEMITBOT 的运营者们将这种易用性变成了一种武器。.

当受害者点击其中一个虚假机器人的“开始”按钮时，会打开一个迷你应用程序，显示一个看起来像是加密货币投资仪表板的钓鱼页面。.

这些页面显示虚假的账户余额和收益，并且经常有倒计时器或限时优惠，目的是让人们觉得他们需要迅速采取行动。.

资金trac发生在提款过程中。.

那些试图 cash 现虚假奖金的人会被告知，他们必须先存入真钱或完成推荐任务。这是预付款诈骗和宰猪骗局的常见手法。.

FEMITBOT 大规模模仿品牌

安全研究人员称 FEMITBOT 的架构是“模块化、模板驱动的”。.

共享后端允许运营商在保持相同基础设施的同时，更改广告活动的品牌、语言和视觉主题。.

CTM360 的研究人员通过发现多个钓鱼域名发送的共同 API 响应字符串“欢迎加入 FEMITBOT 平台”证实了这一联系。.

部分假冒品牌来自加密货币领域，包括 Bitget、OKX、 Binance和 MoonPay。

如此广泛的冒充行为表明，该行动旨在影响全球众多人群。.

这些宣传活动也使用了类似于广告的 trac技术。.

CTM360 的研究人员写道：“观察到的基础设施在其运营中整合了来自元平台（Facebook/Instagram）和 TikTok 的转化 trac机制。”.

一些 FEMITBOT 小程序使用 Meta 和 TikTok trac像素来监控用户行为，计算转化率，并利用直接来自真实数字营销的技术来提高其广告系列的效果。.

诈骗分子通过伪造的APK文件传播恶意软件。

一些 FEMITBOT 小程序不仅会进行金融诈骗，还会传播看起来像真实应用程序的 Android 恶意软件。.

安全研究人员发现了一些伪装成 Netflix、BBC、 NVIDIA、CineTV、Coreweave 和 Claro 等品牌的 APK 文件。

该公司 表示 ，APK 文件与该活动的 API 托管在同一域名下。这确保了 TLS 证书的有效性，并避免浏览器出现安全警告，从而防止受害者收到警报。

用户需要侧载 APK 文件、在应用程序浏览器中打开链接，或者安装看起来像真实软件的渐进式 Web 应用程序。.

FEMITBOT 的恶意软件组件对使用 Android 的用户来说最为危险。.

手机恶意软件进入手机最常见的方式之一，就是从 Google Play 商店之外侧载 APK 文件。.

FEMITBOT 使用匹配的 TLS 证书，使得其下载的文件很难一眼与真实文件区分开来。.

如果 Telegram 机器人告诉用户投资加密货币，展示不切实际的回报，或者要求用户在提款前先存入资金，用户就应该提高警惕。.

倒计时、紧急用语和推荐要求都是预付费诈骗的迹象。.