Telegram Mini Apps postali meta za kripto izmame i distribuciju Android malvera
FEMITBOT operacija zloupotrebljava Telegram Mini Apps za kripto izmame i distribuciju Android malvera imitirajući poznate brendove.
Šta se desilo?
Bezbednosni istraživači su otkrili masivnu kampanju u kojoj napadači zloupotrebljavaju Telegram Mini Apps funkcionalnost za sprovođenje kripto izmama, imitaciju poznatih brendova i distribuciju zlonamernog Android softvera. Operacija poznata kao FEMITBOT koristi ugrađu Telegram browsera da prikaže veoma uverljive fišing stranice koje izgledaju kao integralni deo same aplikacije.
Kako funkcioniše napad?
Napadači postavljaju Telegram botove koji se otvaraju u Mini App - lakšim web aplikacijama koje se izvršavaju unutar Telegram platfome. Kada korisnik klikne na "Start", bot otvara fišing stranicu u Telegram WebView-u. Žrtve vide kontrolne tabloe sa lažnim balansom ili "zaradama", često sa odbrojivačima i ograničenim ponudama koje stvaraju osećaj hitnosti. Ako pokušaju da povuku novac, od njih se traži da prvo naprave depozit ili završe zadatke sa preporukama - klasična taktika naprednih investicijskih izmama.
Koga pogađa?
Pogođeni su aktivni korisnici Telegram platforme - posebno oni koji su zainteresovani za kripto-investicije i finansijske usluge. Napadači su imitirali poznate brendove kao što su Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA i YouKu kako bi povećali poverenje. Android korisnici su pod dodatnom pretnjom jer neke od Mini Apps pokušavaju da distribuiraju maliciozan APK softver koji se predstavlja kao legititimna aplikacija.
Kako se zaštititi?
- Izbegavajte Telegram botove koji promovišu kripto-investicije i zatražite depozite sredstava
- Ne otvarajte Mini Apps koji od vas zahtevaju da preuzimate APK datoteke ili dodatne aplikacije
- Ne verujte lažnim balansom ili ponudama sa odbrojivačima - to su klasični znaci fišing stranica
- Nikada ne sideloadujte Android APK datoteke van Google Play Store-a
- Proverite da li je Mini App pravi prepoznavanjem zvaničnih ikona i linkova
- Ako niste sigurni, kontaktirajte kompaniju direktno pre nego što kliknete bilo kakve linkove
Tehnički detalji
Istraživanja od strane CTM360 pokazuju da sve fišing domene koriste istu backend infrastrukturu sa zajedničkim API odgovorom: "Welcome to join the FEMITBOT platform". Napadači koriste Meta i TikTok tracking piksele za praćenje korisničke aktivnosti i merenje konverzija. Maliciozan APK softver je hosovvan na istim domenama kao i API, što omogućava validnost TLS sertifikata i izbegavanje upozorenja za pomešanu sadržinu.
Preporuka Sajber Radara
Korisnici bi trebali biti izuzetno oprezni sa bilo kakvim Telegram Mini Apps-ima koji obećavaju brze zarade ili investicione povraćaje. Ako nešto izgleda previše dobro da bi bilo istinito - verovatno jeste. Savetujemo analizu URL adrese pre nego što bilo šta preuzimate i postojanu primenu bezbednosnih standarda pri korišćenju bilo kojih aplikacija treće strane.
