Злоумышленники распространяют фальшивые приложения через Telegram Mini Apps

Специалисты CTM360 описали набор FEMITBOT, который помогает запускать массовые мошеннические кампании через Telegram. Фальшивые мини-приложения имитируют криптовалютные платформы, финансовые сервисы, ИИ-проекты, потоковые площадки и майнинговые пулы.Среди брендов, под которые маскировались злоумышленники, названы BBC, Netflix, Binance, Youku, Bitget, OKX, MoonPay, NVIDIA, CoreWeave, Circle и другие. Об этом пишет Securitylab.

Связать разные вредоносные кампании между собой помог повторяющийся ответ API с приветствием платформы FEMITBOT. CTM360 также нашла устойчивую связку между Telegram-ботами и фишинговыми доменами. Бот играет роль входной точки, а сайт обрабатывает авторизацию, показывает интерфейс, принимает платежи и собирает данные. Такая схема позволяет быстро менять оформление под нужный бренд, не перестраивая всю систему.

По данным отчёта, инфраструктура включает более 60 активных доменов, свыше 146 Telegram-ботов, больше 15 шаблонов, не менее 25 JavaScript-сборок, более 100 пикселей отслеживания и свыше 30 брендов для подмены. В основе фронтенда используется Vue.js, Telegram WebApp SDK, набор визуальных «скинов», поддержка более 22 языков и разные цветовые темы.

Сценарий атаки строится вокруг доверия и постепенного вовлечения. Потенциальных жертв приводят через рекламу Meta или приглашения в Telegram с обещаниями пассивного дохода. После запуска бота мини-приложение получает данные Telegram WebApp, автоматически создаёт сессию и показывает личный кабинет с фальшивым заработком, таймерами, бонусами и ограниченными предложениями. Для вывода якобы накопленных средств пользователя подталкивают к первому взносу или к приглашению новых участников.

Отдельно CTM360 указывает на маркетинговую дисциплину операторов FEMITBOT. Кампании используют пиксели Meta и TikTok, чтобы отслеживать регистрации, первые депозиты, повторные платежи и другие действия. Такая аналитика помогает преступникам менять приманки и перераспределять трафик между источниками.

В некоторых случаях сайты предлагали APK-файлы для установки вручную. Конфигурация позволяла раздавать файл напрямую, открывать страницу во встроенном браузере или показывать PWA-подсказку для добавления на главный экран. Названия файлов подбирались так, чтобы напоминать легитимные приложения или не вызывать подозрений.