СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

FEMITBOT: Telegram Mini Apps для масштабного мошенничества

Набор инструментов FEMITBOT, выявленный аналитиками CTM360, демонстрирует, как легкие веб-приложения Telegram Mini Apps могут использоваться для создания масштабной и модульной мошеннической инфраструктуры. По данным отчета, операция строится вокруг имитации легитимных сервисов, брендов и пользовательских сценариев, чтобы повысить доверие жертв и удерживать их в управляемой злоумышленниками среде.

Единая бэкенд-система и модульная архитектура

Исследование указывает на то, что несколько мошеннических Telegram Mini Apps работают поверх общей бэкенд-системы. Это подтверждается повторяющимся ответом API: “Welcome to join the FEMITBOT platform”. Такая формулировка, по оценке аналитиков, свидетельствует о скоординированной инфраструктуре, которая используется сразу в нескольких доменах.

Ключевая особенность FEMITBOT — модульность. Она позволяет злоумышленникам быстро запускать новые схемы, не создавая для каждой из них полностью отдельную конфигурацию. В результате повышается гибкость операций и расширяется спектр возможных сценариев мошенничества.

Имперсонация брендов и социальная инженерия

В основе тактик FEMITBOT лежит имперсонация известных брендов. В отчете упоминаются BBC, Netflix и Binance — использование знакомых логотипов и визуальных элементов помогает создавать фасад достоверности и усиливает вовлеченность пользователей.

Цепочка взаимодействия строится так, чтобы жертва постепенно втягивалась в сценарий:

  • нежелательная реклама на платформах, включая Meta;
  • переход к структурированному взаимодействию с ботом в Telegram;
  • получение кастомных приветственных сообщений внутри среды Mini App;
  • дальнейшие действия в интерфейсе, визуально схожем с легитимным сервисом.

Сбор данных через Telegram.WebApp.initData

Техническая часть схемы использует строку Telegram.WebApp.initData для скрытого извлечения данных идентификации пользователя. Этот механизм помогает злоумышленникам поддерживать дальнейшие процедуры аутентификации и связывать действия конкретного пользователя с мошеннической сессией.

Отдельно отмечается применение SDK Telegram WebApp, которое обеспечивает бесшовный пользовательский опыт. Именно это, по замыслу злоумышленников, маскирует вредоносную активность и снижает настороженность жертв.

Фишинговые сайты, встроенный браузер и tracking pixels

Связанные phishing-сайты тесно интегрированы с ботами Telegram. После перехода по рекламе пользователь оказывается в цепочке, которая направляет его к использованию встроенного browser, создавая иллюзию безопасной и легитимной среды.

В операции также используются tracking pixels от Meta и TikTok. Они позволяют отслеживать пользовательские взаимодействия и, как следует из отчета, оптимизировать мошеннические процессы на основе поведения потенциальных жертв.

Распространение ВПО через APK-файлы Android

Отдельную угрозу представляет возможность распространения ВПО, в частности через APK-файлы Android, которые жертвам предлагаются под видом обычных действий в приложении. Такой подход повышает вероятность того, что пользователь сам согласится на установку вредоносного компонента.

Для усиления давления и вовлечения используются дополнительные приемы, включая запросы “add to home screen” и просмотр контента внутри приложения. Эти элементы подаются как удобные и привычные функции, хотя на практике служат для облегчения доставки вредоносного ПО.

Вывод

FEMITBOT демонстрирует, насколько эффективно современные мошеннические кампании комбинируют Telegram Mini Apps, социальную инженерию, поддельные бренды, tracking pixels и элементы встроенной веб-среды. По сути, речь идет о хорошо организованной модульной платформе, которая позволяет злоумышленникам быстро масштабировать схемы, скрывать истинную природу операций и собирать пользовательские данные ради финансовой выгоды.

Как следует из отчета, главная опасность FEMITBOT заключается не только в технической сложности, но и в умении маскировать вредоносную активность под привычные цифровые сценарии, которыми ежедневно пользуются миллионы людей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: