Les chercheurs en cybersécurité ont identifié une opération frauduleuse importante utilisant la fonctionnalité Mini App de Telegram pour les escroqueries aux crypto-monnaies, l’usurpation d’identité de marque et la distribution de logiciels malveillants Android. L’opération, connue sous le nom de FEMITBOT, exploite les robots Telegram et les mini-applications intégrées pour offrir des expériences convaincantes directement dans l’application.
Le rapport CTM360 indique que FEMITBOT mène diverses escroqueries, notamment de fausses plateformes de cryptomonnaie et des services financiers frauduleux, en se faisant passer pour des marques bien connues. Cette tactique renforce la crédibilité de l’opération, lui permettant d’impliquer des utilisateurs peu méfiants.
Des marques telles qu’Apple, Coca-Cola, Disney et IBM ont été usurpées, utilisant une infrastructure commune avec plusieurs domaines de phishing partageant la même réponse API : « Bienvenue sur la plateforme FEMITBOT ». Cela indique un backend unifié pour l’opération de fraude.
Les robots Telegram présentent des sites de phishing au sein même de la plateforme. Les utilisateurs qui interagissent avec ces robots et cliquent sur « Démarrer » sont redirigés vers une mini-application affichant une page de phishing dans la WebView intégrée de Telegram. Les victimes se voient souvent montrer de faux tableaux de bord affichant des soldes ou des revenus fictifs, améliorés par des comptes à rebours pour créer une urgence.
Lorsque les utilisateurs tentent de retirer des fonds, ils sont invités à déposer plus d’argent ou à effectuer diverses tâches de référence, une tactique couramment observée dans les escroqueries. L’infrastructure prenant en charge FEMITBOT permet des ajustements rapides entre différentes campagnes, permettant aux attaquants de modifier facilement la marque, les langues et les thèmes.
De plus, les campagnes frauduleuses intègrent des scripts de suivi tels que les pixels Meta et TikTok pour surveiller l’activité des utilisateurs et optimiser l’engagement. Certaines mini-applications distribuent des logiciels malveillants Android, se faisant passer pour des marques telles que la BBC et NVIDIA. Les utilisateurs sont souvent invités à télécharger des fichiers APK ou à ouvrir des liens dans le navigateur de l’application, ce qui conduit à des installations de logiciels potentiellement dangereuses.
CTM360 explique : « Les noms de fichiers APK sont soigneusement choisis pour ressembler à des applications légitimes ou utiliser des noms aléatoires qui n’éveillent pas immédiatement des soupçons. » Les APK sont hébergés sur le même domaine que l’API, garantissant des certificats TLS valides pour éviter les avertissements du navigateur.
Les experts conseillent aux utilisateurs de faire preuve de prudence avec les robots Telegram qui suggèrent des investissements cryptographiques, en particulier ceux demandant des dépôts ou des téléchargements d’applications. Les utilisateurs d’Android sont également avertis d’éviter de charger des fichiers APK, car ces pratiques conduisent fréquemment à la distribution de logiciels malveillants en dehors du Google Play Store.
