Les chercheurs en cybersécurité ont identifié une opération de fraude massive qui exploite la fonctionnalité Mini Apps dans Telegram pour exécuter des escroqueries critiques, supplanter marques reconnues et distribuer des logiciels malveillants pour Android. Le rapport technique du CTM360 décrit une infrastructure réutilisable - que les analystes ont étiquetée par l'indicateur « FEMITBOT » - capable d'offrir des pages d'hameçonnage intégrées dans la propre expérience de l'application, rendant l'escroquerie plus crédible et rendant difficile la détection des utilisateurs non prévenus. Ce n'est pas une campagne isolée : c'est une plateforme multicanaux qui facilite les campagnes répétables et évolutives selon l'analyse partagée par les chercheurs ( Rapport CTM360).
Télégramme Mini Les applications sont essentiellement des applications Web légères qui fonctionnent dans le navigateur interne de la plate-forme et vous permettent d'offrir des paiements, un accès aux comptes ou des outils interactifs sans quitter l'application. Cette commodité, que Telegram documente dans son guide officiel, devient également un risque lorsque les acteurs malveillants utilisent le même cadre pour présenter des interfaces frauduleuses avec apparence légitime. Vous pouvez examiner comment ces mini-applications sont conçues dans la documentation officielle de Télégramme ( Télégramme Applications Web) pour comprendre pourquoi son exécution dans le WebView est particulièrement puissante du point de vue de la tromperie.
Dans les campagnes observées, le flux typique commence par un bot qui invite l'utilisateur à appuyer sur « Start » ; le bot lance une mini App qui charge une page d'hameçonnage qui semble native, montre de faux équilibres ou « profits » et génère de la pression au moyen de minuteries ou d'offres limitées. Lorsque la victime tente de retirer des fonds, elle doit d'abord obtenir un dépôt supplémentaire ou effectuer des tâches de référence, des techniques classiques de fraude à l'avance. En plus de l'hameçonnage, certaines de ces Mini Apps poussent les téléchargements malveillants APKS ou PWAs qui supplantent les applications légitimes, qui introduit un vecteur d'engagement permanent dans les appareils Android .
D'un point de vue technique, les opérateurs profitent de fonctionnalités qui réduisent les signaux d'alarme : ils hébergent les API et les APKS dans les mêmes domaines avec des certificats TLS valides, utilisent des noms de fichiers soigneusement choisis pour les applications et insèrent les pixels de suivi Meta ou TikTok pour mesurer les conversions et optimiser les campagnes. Le résultat est une expérience entièrement intégrée et fiable à première vue - mais contrôlée par les cybercriminels - qui échappe à beaucoup d'heuristiques simples de détection.
Les implications sont multiples. Pour les utilisateurs privés, le risque principal est la perte économique et l'installation de chevaux de Troie qui volent les références ou contrôlent l'appareil. Pour la plateforme et l'écosystème critique, ces opérations érodent la confiance du public et peuvent catalyser des règlements de messagerie et de paiement plus stricts dans les applications. Pour les défenseurs de la sécurité et les fournisseurs, la réutilisation des infrastructures et des chaînes de domaines fournies par ces plateformes rend plus difficile le blocage des campagnes sans affecter les services légitimes.
Concrètement, il existe des mesures concrètes que chaque utilisateur peut lancer aujourd'hui: ne pas interagir avec des robots inconnus qui promettent un retour rapide, ne téléchargez pas ou n'installez pas APKS à partir de liens livrés par messagerie, et évitez de permettre l'installation à partir d'origines inconnues sur Android. Google garde des ressources sur les risques d'installer des applications en dehors des magasins officiels et comment gérer ces autorisations sur Android ( installer des applications à partir de sources inconnues). Il convient également de toujours vérifier les canaux officiels des entreprises avant de créer une promotion qui passe par Telegram et, dans le cas d'actifs critiques, de préférer les portefeuilles de matériel et les contrats officiels de transfert.
Les plateformes telles que Telegram ont la possibilité d'améliorer les contrôles : veto et certification des mini-applications, limites plus strictes pour les robots qui redirigent vers les téléchargements, analyse automatisée des paquets APK hébergés, et collaboration proactive avec les régulateurs de domaine et les forces de sécurité pour renverser l'infrastructure malveillante. Sans mesures d'atténuation au niveau de la plateforme, les attaquants continueront d'exploiter la facilité de déploiement des expériences web dans les applications de messagerie.
Pour les équipes de sécurité et les fournisseurs de contenu, la détection de ce type de campagne nécessite de regarder au-delà des signatures traditionnelles : corrélation de domaines qui partagent des réponses API identiques, analyse de contenu WebViews intégré, et surveillance des pixels de suivi sur des pages de légitimité apparente. Il est également recommandé de développer des canaux rapides permettant aux utilisateurs de signaler les robots suspects et aux plateformes d'agir avec agilité.
L'apparition de FEMITBOT met en évidence une tendance plus marquée : les surfaces d'attaque migrent dans des expériences intégrées qui cherchent à exploiter la confiance contextuelle de l'utilisateur. La combinaison de l'ingénierie sociale, de l'infrastructure réutilisable et des tactiques de monétisation (dépôts, affiliés, distribution de logiciels malveillants) rend ces opérations très rentables et difficiles à éradiquer. Restez informé, méfiez-vous de ce qui promet de l'argent facile et appliquer des contrôles de sécurité de base sur l'appareil sont pour le moment les défenses les plus efficaces contre ces escroqueries.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...