I ricercatori di CTM360 hanno scoperto una campagna su larga scala che sfrutta le Mini App di Telegram per mettere in atto truffe, impersonare noti marchi e distribuire malware. I cybercriminali hanno sviluppato una piattaforma, denominata FEMITBOT, che consente di eseguire le varie attività e massimizzare i profitti illeciti.
Descrizione di FEMITBOT e degli attacchi
Le Mini App sono web app scritte in JavaScript che vengono eseguite all’interno di Telegram. Possono sostituire i siti web per login, interazioni e pagamenti. Queste potenti funzionalità sono spesso sfruttate dai cybercriminali. FEMITBOT usa le Mini App per mostrare false piattaforme di criptovalute, false app finanziarie, false piattaforme AI e servizi di streaming illegali.
Per ingannare le vittime sono utilizzati marchi noti, tra cui NVIDIA, Netflix, Binance, Disney e Apple. I cybercriminali pubblicizzano offerte e airdrop (distribuzione gratuita di monete digitali) tramite inserzioni su Facebook e Instagram. Gli utenti sono quindi invitati ad usare un bot Telegram che avvia la Mini App fasulla. Viene così mostrato il sito di phishing all’interno di Telegram (tramite WebView).
Sul sito ci sono conti alla rovescia per mettere fretta e dashboard che mostrano presunti guadagni. Quando le vittime tentano di incassare le criptovalute viene chiesto di effettuare un pagamento o completare alcune attività (ad esempio invitare gli amici). È presente anche un meccanismo di tracciamento delle attività degli utenti.
Alcune Mini App distribuiscono malware per Android mediante file APK (sideloading). Dopo il download viene aperta una pagina web all’interno di Telegram e chiesto di aggiungere il link alla schermata home. I ricercatori non hanno però pubblicato ulteriori dettagli.
Gli utenti non devono ovviamente interagire con bot e Mini App che promettono facili guadagni, né scaricare app Android da fonti sconosciute. Dovrebbero essere bloccate dalla funzionalità Play Protect, ma non sono arrivate conferme da Google.
Ti potrebbe interessare
4 mag 2026