Pesquisadores de cibersegurança identificaram uma operação massiva de fraude que explora a funcionalidade de Mini Apps dentro do Telegram para executar fraudes cripto, suplantar marcas reconhecidas e distribuir malware para Android. O relatório técnico do CTM360 descreve uma infra-estrutura reutilizável — a que os analistas têm rotulado o indicador "FEMITBOT" — capaz de oferecer páginas de phishing integradas na própria experiência da app, o que torna mais credível a fraude e dificulta a detecção por parte de usuários desprevenidos. Esta não é uma campanha isolada: é uma plataforma multicanal que facilita campanhas repetiveis e escalávels, segundo a análise compartilhada pelos pesquisadores ( Relatório CTM360).
As Mini Apps do Telegram são basicamente aplicativos web leves que são executados no navegador interno da plataforma e permitem oferecer pagamentos, acesso a contas ou ferramentas interativas sem sair da app. Essa conveniência, que o Telegram documenta em seu guia oficial, Também se converte em risco quando atores maliciosos usam o mesmo marco para apresentar interfaces fraudulentas com aparência legítima. Você pode revisar como essas Mini Apps são desenhadas na documentação oficial do Telegram ( Telegram Web Apps), para entender por que sua execução dentro do WebView é particularmente potente do ponto de vista do engano.
Nas campanhas observadas, o fluxo típico começa com um bot que convida o usuário a carregar "Start"; o bot lança uma Mini App que carrega uma página de phishing que parece nativa, mostra saldos falsos ou "gências", e gera pressão por temporizadores ou ofertas limitadas. Quando a vítima tenta retirar fundos, é-lhe primeiro exigido um depósito adicional ou cumprir tarefas de referência, técnicas clássicas de fraude antecipadamente. Além de phishing, alguns desses Mini Apps empurram downloads de malware ou PWAs que suplantam aplicativos legítimos, o que introduz um vetor de compromisso permanente em dispositivos Android.
Do ponto de vista técnico, os operadores aproveitam características que reduzem os sinais de alarme: alojam APIs e APKs sob os mesmos domínios com certificados TLS válidos, usam nomes de arquivo cuidadosamente escolhidos para aplicações e inserem pixels de rastreamento Meta ou TikTok para medir conversões e otimizar campanhas. O resultado é uma experiência totalmente integrada e confiável à primeira vista — mas controlada por ciberdelinquentes —, que elude muitas heurísticas simples de detecção.
As implicações são múltiplas. Para usuários particulares, o risco principal é a perda econômica e a instalação de troianos que roben credenciais ou controlem o dispositivo. Para a plataforma e o ecossistema cripto, essas operações erodem a confiança pública e podem catalisar regulamentos mais rigorosos sobre mensagens e pagamentos dentro de aplicativos. Para defensores e fornecedores de segurança, a reutilização de infra-estruturas e as cadeias de domínio fornecidas por estas plataformas tornam mais difícil bloquear campanhas sem afectar serviços legítimos.
Em termos práticos, há medidas concretas que todos os usuários podem implementar hoje mesmo: não interactue com bots desconhecidos que prometam desempenhos rápidos, não baixe nem instale APKs a partir de links entregues por mensagens e evite ativar a instalação de origens desconhecidas no Android. O Google mantém recursos sobre os riscos de instalar apps fora de lojas oficiais e como gerenciar essas permissões no Android ( instalar apps de fontes desconhecidas). Também convém verificar sempre canais oficiais de empresas antes de acreditarem numa promoção que chega pelo Telegram e, no caso de ativos cripto, preferir carteiras de hardware e contratos oficiais para transferências.
Plataformas como o Telegram têm margem para melhorar controles: vetado e certificação do Mini Apps, limites mais estritos para bots que redireccionem downloads, análise automatizada dos pacotes APK hospedados, e colaboração proativa com registradores de domínio e forças de segurança para tumbar infraestruturas maliciosas. Sem medidas de mitigação a nível de plataforma, os atacantes continuarão a explorar a facilidade de implantação de experiências web dentro de apps de mensagens.
Para equipes de segurança e provedores de conteúdo, detectar esse tipo de campanhas exige olhar além das assinaturas tradicionais: correlação de domínios que compartilham respostas API idênticas, análise do conteúdo do WebViews embebidos, e monitoramento de pixels de tracking em páginas de aparente legitimidade. Também é recomendável desenvolver canais rápidos para que usuários informem bots suspeitos e que as plataformas atuem com agilidade.
O aparecimento de FEMITBOT enfatiza uma tendência maior: as superfícies de ataque migram para experiências integradas que buscam explorar a confiança contextual do usuário. A combinação de engenharia social, infra-estruturas reutilizáveis e táticas de monetização (depósitos, afiliados, distribuição de malware) torna estas operações altamente rentáveis e difíceis de erradicar. Manter-se informado, desconfiar do que promete dinheiro fácil e aplicar controlos básicos de segurança no dispositivo são agora as defesas mais eficazes contra estas fraudes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...