03.05.2026
1 хв
174
Кіберзлочинці почали активно зловживати Telegram Mini Apps, щоб виманювати криптовалюту та заражати смартфони Android. Схеми виглядають як легітимні сервіси всередині месенджера і швидко вводять користувачів в оману.
Дослідники кібербезпеки виявили велику шахрайську схему, яка використовує функцію Mini App у Telegram для криптоафер, маскування під відомі бренди та поширення шкідливих Android-додатків.
У звіті компанії CTM360 йдеться про платформу під назвою FEMITBOT. Її вдалося ідентифікувати за характерним рядком у відповідях API. Вся система побудована на Telegram-ботах і міні-додатках, які створюють відчуття повноцінного сервісу прямо всередині месенджера.
Самі Telegram Mini Apps працюють як легкі вебдодатки у вбудованому браузері. Вони дозволяють користуватися різними сервісами, включно з оплатами та доступом до акаунтів, без виходу з Telegram. Саме цю зручність і використали зловмисники.
За даними дослідників, FEMITBOT застосовується одразу в кількох типах шахрайства. Це фейкові криптоплатформи, псевдофінансові сервіси, підроблені AI-інструменти та навіть стримінгові сайти. У різних кампаніях змінюється лише обгортка, але інфраструктура залишається тією ж.
Щоб підвищити довіру, зловмисники активно маскуються під відомі бренди. Серед тих, чиї імена використовувалися, фігурують Apple, Coca-Cola, Disney, eBay, IBM, MoonPay, NVIDIA та YouKu. При цьому всі ці кампанії працюють на спільному бекенді, що підтверджується однаковою відповіддю API з повідомленням «Ласкаво просимо до платформи FEMITBOT».
Схема виглядає досить просто. Користувач запускає Telegram-бота і натискає «Пуск». Після цього відкривається міні-додаток, який відображає фішингову сторінку прямо у WebView Telegram. Усе виглядає як частина самого месенджера, що значно знижує підозру.
Далі жертві показують інтерфейс із нібито балансом або заробітком. Часто додаються таймери або обмежені за часом пропозиції, щоб підштовхнути до швидких дій. Коли користувач намагається вивести гроші, йому пропонують внести депозит або виконати реферальні завдання. Це класична схема інвестиційного шахрайства.
Інфраструктура FEMITBOT побудована так, щоб її можна було легко масштабувати. Зловмисники швидко змінюють брендинг, мову і тематику кампаній, не змінюючи основу.
Окремо дослідники звернули увагу на використання трекінгових скриптів. У кампаніях фіксувалися пікселі Meta та TikTok, які дозволяють відстежувати поведінку користувачів і оптимізувати шахрайські сценарії.
Крім фінансового обману, схема також включає розповсюдження шкідливого ПЗ. Деякі міні-додатки пропонують завантажити Android APK-файли, замасковані під відомі сервіси, зокрема BBC, NVIDIA, CineTV, CoreWeave та Claro.
Користувачів просять встановити ці файли, відкрити посилання у вбудованому браузері або встановити прогресивні вебдодатки. Усе це виглядає як легітимне програмне забезпечення, хоча насправді може містити шкідливий код.
Як пояснюють у CTM360, назви APK-файлів спеціально підбираються так, щоб не викликати підозри. Іноді вони імітують популярні додатки, іноді виглядають випадковими. При цьому самі файли розміщуються на тих же доменах, що і API, що допомагає уникати попереджень браузера та виглядає більш довірено.
Фахівці радять бути обережними з Telegram-ботами, які пропонують інвестиції або запускають міні-додатки, особливо якщо мова йде про внесення коштів або встановлення програм.
Окремо наголошується, що користувачам Android варто уникати завантаження APK-файлів зі сторонніх джерел, адже саме так найчастіше поширюється шкідливе програмне забезпечення поза межами Google Play.
