一个名为FEMITBOT的大规模诈骗网络,正利用Telegram的迷你应用功能来运作虚假加密货币平台、冒充知名品牌以及传播有害的安卓恶意软件。
FEMITBOT利用Telegram寻找受害者
据网络安全公司CTM360称,该诈骗活动利用Telegram机器人和内置的迷你应用,创建可直接在Telegram内置浏览器中加载的钓鱼界面。这些诈骗页面比通过电子邮件或短信发送的常规钓鱼链接看起来更真实,因为受害者从未离开通讯应用。
Telegram迷你应用是在Telegram自身WebView内运行的小型网络应用,允许用户进行支付、访问账户和使用交互工具,而无需安装独立应用或浏览器。FEMITBOT的运营者将这种便利性变成了武器。
当受害者在虚假机器人上点击“开始”时,会打开一个迷你应用,显示一个看似加密货币投资仪表板的钓鱼页面。这些页面展示虚假的账户余额和收益,并常设有倒计时计时器或限时优惠,意在让人感觉需要迅速行动。
资金提取发生在提现过程中。尝试提取虚假收益的用户被告知必须先存入真实资金或完成推荐任务。这是预付费用诈骗和“杀猪盘”的常见手法。
FEMITBOT大规模冒充品牌
安全研究人员称FEMITBOT的架构为“模块化、模板驱动”型。其共享后端允许运营者在保持相同基础设施的同时,更换活动品牌、语言和视觉主题。
CTM360的研究人员通过发现多个钓鱼域名返回的共同API响应字符串“欢迎加入FEMITBOT平台”,确认了其关联。部分虚假品牌来自加密货币领域,包括Bitget、OKX、Binance和MoonPay。广泛的冒充范围表明,该操作旨在覆盖全球大量人群。
这些活动还使用了类似广告的追踪技术。“观察到的基础设施在其操作中整合了Meta平台和TikTok的转化追踪机制,”CTM360研究人员写道。部分FEMITBOT迷你应用使用Meta和TikTok的追踪像素来监控用户行为、分析转化人数并优化活动效果,直接采用了真实数字营销中的技术。
诈骗者通过虚假APK传播恶意软件
部分FEMITBOT迷你应用不仅实施金融欺诈,还传播看似真实应用的安卓恶意软件。安全研究人员发现了冒充Netflix、BBC、NVIDIA、CineTV、Coreweave和Claro等品牌的APK文件。
该公司表示,这些APK文件托管在与活动API相同的域名上。这确保了TLS证书的有效性,避免了浏览器安全警告的显示,否则可能引起受害者警觉。用户被要求侧载APK文件、在应用浏览器中打开链接或安装看起来像真实软件的渐进式网络应用。
FEMITBOT的恶意软件组件对安卓用户最为危险。移动恶意软件侵入手机最常见的方式之一是从谷歌Play商店外部侧载APK文件。FEMITBOT使用匹配的TLS证书,使其下载文件乍看之下更难与真实文件区分。
如果Telegram机器人诱导用户投资加密货币、展示不切实际的回报,或要求先存款才能提现,则应保持警惕。倒计时计时器、紧迫话术和推荐要求都是预付费用诈骗的典型迹象。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注