Злоупотреба на Telegram Mini Apps за крипто измами и дистрибуција на Android малициозен софтвер

Истражувачите за сајбер-безбедност открија голема измамничка операција која ја користи функцијата Mini App на Telegram за да спроведува крипто измами, да имитира познати брендови и да дистрибуира малициозен софтвер за Android.

Нов извештај од CTM360 наведува дека платформата, наречена FEMITBOT, е базирана на низа пронајдена во API одговори и користи Telegram ботови и вградени Mini Apps за да создаде убедливи, апликациски искуства директно во рамките на платформата за пораки.

Telegram Mini Apps се лесни веб-апликации кои работат во вградениот прелистувач на Telegram, овозможувајќи услуги како плаќања, пристап до сметки и интерактивни алатки без корисниците да мора да ја напуштат апликацијата.

Злоупотреба на Telegram Mini Apps

Според извештај на CTM360 споделен со BleepingComputer, платформата FEMITBOT се користи за спроведување на повеќе видови измами, вклучувајќи лажни криптовалутни платформи, финансиски услуги, AI алатки и стриминг-страници.

Во различни кампањи, напаѓачите се претставувале како широко познати брендови за да ја зголемат доверливоста и ангажманот, додека користеле иста позадинска инфраструктура со различни домени и Telegram ботови.

Некои од брендовите кои биле имитирани во оваа кампања вклучуваат Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA и YouKu.

Истражувачите велат дека активноста користи заедничка позадинска инфраструктура (backend), при што повеќе фишинг домени го користат истиот API одговор: „Welcome to join the FEMITBOT platform“, што укажува дека сите ја користат истата инфраструктура.

Операцијата користи Telegram ботови за прикажување фишинг-страници директно во рамките на платформата. Кога корисник ќе комуницира со бот и ќе кликне „Start“, ботот отвора Mini App што прикажува фишинг-страница во вградениот WebView на Telegram, правејќи да изгледа како дел од самата апликација.

Откако ќе влезат, жртвите гледаат контролни табли со лажни салда или „заработки“, често придружени со тајмери за одбројување или ограничени понуди за да се создаде чувство на итност.

Кога корисниците ќе се обидат да повлечат средства, од нив се бара да направат депозит или да завршат задачи со препораки (referrals), што е вообичаена тактика кај инвестициски измами и измами со однапред наплатени трошоци.

Истражувачите велат дека инфраструктурата е дизајнирана да се користи во различни кампањи, овозможувајќи им на напаѓачите лесно да менуваат брендирање, јазици и теми.

Кампањите исто така користат скрипти за следење, како Meta и TikTok tracking пиксели, за да ја следат активноста на корисниците, да мерат конверзии и веројатно да ги оптимизираат перформансите.

Некои Mini Apps исто така се обидувале да дистрибуираат малициозен софтвер во форма на Android APK-датотеки кои се претставувале како брендови како BBC, NVIDIA, CineTV, CoreWeave и Claro.

Корисниците се поттикнуваат да преземаат Android APK-датотеки, да отвораат линкови во вградениот прелистувач на апликацијата или да инсталираат прогресивни веб-апликации што имитираат легитимен софтвер.

„Имињата на APK-датотеките се внимателно избрани за да наликуваат на легитимни апликации или користат случајно генерирани имиња што не предизвикуваат веднаш сомнеж“, објаснува CTM360.

„APK-датотеките се хостирани на истиот домен како и API-то, со што се обезбедува валидност на TLS сертификатот и се избегнуваат предупредувања за мешана содржина во прелистувачот.“

Корисниците треба да бидат внимателни кога комуницираат со Telegram ботови што промовираат крипто-инвестиции или ги поттикнуваат да стартуваат Mini Apps, особено ако од нив се бара да депонираат средства или да преземаат апликации.

Како општо правило, Android корисниците треба да избегнуваат рачно инсталирање (sideloading) на APK-датотеки, бидејќи тие често се користат за дистрибуција на малициозен софтвер надвор од Google Play Store.

Извори:

• Bleeping Computer – Telegram Mini Apps abused for crypto scams, Android malware delivery Bleeping Computer