Cybersecurity-Forscher haben eine massive Betrugsoperation identifiziert, die Mini Apps-Funktionalität innerhalb von Telegram verwendet, um kritische Betrug zu betreiben, Supplant erkannt Marken und Malware für Android zu verbreiten. Der technische Bericht CTM360 beschreibt eine wiederverwendbare Infrastruktur, die von den Analysten des "FEMITBOT"-Indikators gekennzeichnet ist, die in der Lage ist, Phishing-Seiten, die in die eigene Erfahrung der App integriert sind, anzubieten, Betrug glaubwürdiger zu machen und es für unvorhergesehene Benutzer schwer zu erkennen. Dies ist keine isolierte Kampagne: Es ist eine Multi-Channel-Plattform, die wiederholbare und skalierbare Kampagnen erleichtert nach der von den Forschern geteilten Analyse ( Bericht CTM360)
Telegramm Mini Apps sind im Grunde leichte Web-Anwendungen, die im internen Browser der Plattform laufen und Ihnen erlauben, Zahlungen, Zugriff auf Konten oder interaktive Tools anzubieten, ohne die App zu verlassen. Diese Bequemlichkeit, die Telegram in seinem offiziellen Führer dokumentiert, wird auch ein Risiko, wenn bösartige Akteure den gleichen Rahmen verwenden, um betrügerische Schnittstellen mit legitimem Aussehen zu präsentieren. Sie können überprüfen, wie diese Mini Apps in der offiziellen Telegram Dokumentation ( Telegram Web Apps), um zu verstehen, warum seine Ausführung im WebView besonders leistungsstark aus der Sicht des Betrugs ist.
In den beobachteten Kampagnen beginnt der typische Fluss mit einem Bot, der den Benutzer dazu einlädt, "Start" zu drücken; der Bot startet eine Mini App, die eine Phishing-Seite lädt, die heimisch aussieht, falsche Waagen oder "Gewinne" zeigt und Druck durch Timer oder begrenzte Angebote erzeugt. Wenn das Opfer versucht, Geld zurückzuziehen, muss er zunächst eine zusätzliche Einzahlung oder Referenzaufgaben, klassische Techniken des Betrugs im Voraus durchführen. Neben Phishing, einige dieser Mini Apps drücken schädlich APKS oder PWAs Downloads, die supplant legitime Anwendungen, die einen permanenten Eingriffsvektor in Android-Geräte einführt.
Aus technischer Sicht nutzen die Bediener Funktionen, die Alarmsignale reduzieren: Sie beherbergen APIs und APKS unter den gleichen Domänen mit gültigen TLS-Zertifikaten, verwenden sorgfältig ausgewählte Dateinamen für Anwendungen und setzen Meta- oder TikTok-Tracking-Pixel ein, um Conversions zu messen und Kampagnen zu optimieren. Das Ergebnis ist eine voll integrierte und zuverlässige Erfahrung auf den ersten Blick - aber von Cyberkriminellen kontrolliert -, die viele einfache Heuristiken der Erkennung eluiert.
Die Implikationen sind mehrfach. Für private Nutzer ist das Hauptrisiko der wirtschaftliche Verlust und die Installation von Trojanern, die Anmeldeinformationen stehlen oder das Gerät steuern. Für die Plattform und das kritische Ökosystem löschen diese Operationen das öffentliche Vertrauen und können strengere Messaging- und Zahlungsregelungen in Anwendungen katalysieren. Für Sicherheitsverteidiger und -anbieter machen die Wiederverwendung der Infrastruktur und der von diesen Plattformen bereitgestellten Domain-Ketten es schwieriger, Kampagnen zu blockieren, ohne legitime Dienste zu beeinträchtigen.
In der Praxis gibt es konkrete Maßnahmen, die jeder Nutzer heute starten kann: nicht mit unbekannten Bots interagieren, die schnelle Renditen versprechen, nicht herunterladen oder installieren APKS von Links durch Messaging geliefert, und vermeiden Sie die Installation von unbekannten Ursprungs auf Android. Google hält Ressourcen auf die Risiken der Installation von Apps außerhalb offizieller Stores und wie man diese Berechtigungen auf Android verwalten ( Apps aus unbekannten Quellen installieren) Es ist auch angebracht, immer offizielle Kanäle von Unternehmen zu überprüfen, bevor eine Förderung, die durch Telegram und im Falle von kritischen Vermögenswerten, Hardware-Portfolios und offizielle Verträge für Transfers zu bevorzugen.
Plattformen wie Telegram haben Möglichkeiten, die Kontrollen zu verbessern: Vetoing und Zertifizierung von Mini Apps, engere Grenzen für Bots, die auf Downloads umleiten, automatisierte Analyse von APK-Paketen gehostet, und proaktive Zusammenarbeit mit Domain-Registratoren und Sicherheitskräften zu stürzen bösartige Infrastruktur. Ohne Maßnahmen auf Plattformebene werden Angreifer weiterhin die Leichtigkeit der Bereitstellung von Web-Erfahrungen in Messaging-Apps nutzen.
Für Security-Teams und Content-Provider erfordert die Erkennung dieser Art von Kampagne, über traditionelle Signaturen hinaus zu schauen: Korrelation von Domains, die identische API-Antworten teilen, Analyse eingebetteter WebViews-Inhalte und Überwachung von Tracking-Pixel auf Seiten offensichtlicher Legitimität. Es wird auch empfohlen, schnelle Kanäle für Benutzer zu entwickeln, um verdächtige Bots und Plattformen mit Agilität zu melden.
Das Erscheinungsbild von FEMITBOT zeigt einen größeren Trend: Die Angriffsflächen wandern in integrierte Erfahrungen, die das kontextuelle Vertrauen des Nutzers ausschöpfen wollen. Die Kombination aus Social Engineering, wiederverwendbarer Infrastruktur und Monetization-Taktik (Deposite, Affiliate, Malware-Vertrieb) macht diese Operationen sehr profitabel und schwierig zu löschen. Bleiben Sie informiert, Misstrauen, was ein einfaches Geld verspricht und grundlegende Sicherheitskontrollen auf dem Gerät gelten jetzt die effektivsten Verteidigung gegen diese Betrug.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...