Forscher von **CTM360** haben eine ausgeklügelte Plattform namens FEMITBOT identifiziert, benannt nach einer Zeichenkette in API-Antworten. Diese Plattform nutzt **Telegram**-Bots und eingebettete Mini-Apps, um überzeugende, app-ähnliche Erlebnisse direkt innerhalb der Messaging-Plattform zu schaffen. **Telegram** Mini Apps sind leichtgewichtige Webanwendungen, die im integrierten Browser von **Telegram** ausgeführt werden. Sie ermöglichen Dienste wie Zahlungen, Kontozugriff und interaktive Tools, ohne dass Benutzer die App verlassen müssen. ## Missbrauch von Telegram Mini Apps Laut dem Bericht von **CTM360** wird die FEMITBOT-Plattform für verschiedene Arten von Betrügereien genutzt, darunter gefälschte Kryptowährungsplattformen, Finanzdienstleistungen, KI-Tools und Streaming-Seiten. Bedrohungsakteure geben sich als weithin bekannte Marken aus, um Glaubwürdigkeit und Engagement zu erhöhen, während sie dieselbe Backend-Infrastruktur mit unterschiedlichen Domains und **Telegram**-Bots verwenden. Einige der in dieser Kampagne nachgeahmten Marken sind **Apple**, **Coca-Cola**, **Disney**, **eBay**, **IBM**, **Moon Pay**, **NVIDIA** und **YouKu**.  Die Forscher geben an, dass die Aktivität ein gemeinsames Backend verwendet, bei dem mehrere Phishing-Domains dieselbe API-Antwort "Welcome to join the FEMITBOT platform" (Willkommen auf der FEMITBOT-Plattform) verwenden, was darauf hindeutet, dass alle dieselbe Infrastruktur nutzen.  Die Operation nutzt **Telegram**-Bots, um Phishing-Seiten direkt innerhalb der Social-Media-Plattform anzuzeigen. Wenn ein Benutzer mit einem Bot interagiert und auf "Start" klickt, startet der Bot eine Mini-App, die eine Phishing-Seite im integrierten WebView von **Telegram** anzeigt, wodurch sie wie ein Teil der App selbst erscheint. Sobald die Opfer sich darin befinden, werden ihnen Dashboards mit gefälschten Guthaben oder "Einnahmen" angezeigt, oft gepaart mit Countdown-Timern oder zeitlich begrenzten Angeboten, um ein Gefühl der Dringlichkeit zu erzeugen. Wenn Benutzer versuchen, Gelder abzuheben, werden sie aufgefordert, eine Einzahlung zu tätigen oder Empfehlungsaufgaben abzuschließen – eine gängige Taktik bei Anlage- und Vorschussbetrügereien. Die Forscher sagen, dass die Infrastruktur für die Verwendung in verschiedenen Kampagnen konzipiert ist, was es Angreifern ermöglicht, Branding, Sprachen und Themen einfach zu wechseln. Die Kampagnen verwenden auch Tracking-Skripte wie **Meta**- und **TikTok**-Tracking-Pixel, um die Aktivitäten der Benutzer zu verfolgen, Konversionen zu messen und wahrscheinlich die Leistung zu optimieren. Einige Mini-Apps versuchten auch, Malware in Form von Android-APKs zu verbreiten, die Marken wie **BBC**, **NVIDIA**, **CineTV**, **Coreweave** und **Claro** imitierten.  Benutzer werden aufgefordert, Android-APK-Dateien herunterzuladen, Links im In-App-Browser zu öffnen oder progressive Web-Apps zu installieren, die legitime Software nachahmen. "Die APK-Dateinamen werden sorgfältig ausgewählt, um legitimen Anwendungen zu ähneln oder zufällig aussehende Namen zu verwenden, die keinen sofortigen Verdacht erregen", erklärt **CTM360**. "Die APKs werden auf derselben Domain wie die API gehostet, was die Gültigkeit des TLS-Zertifikats sicherstellt und Mixed-Content-Warnungen im Browser vermeidet." Benutzer sollten vorsichtig sein, wenn sie mit **Telegram**-Bots interagieren, die Krypto-Investitionen bewerben oder sie auffordern, Mini-Apps zu starten, insbesondere wenn sie aufgefordert werden, Gelder einzuzahlen oder Apps herunterzuladen. Als allgemeine Regel sollten Android-Benutzer das Sideloading von APK-Dateien vermeiden, die häufig zur Verbreitung von Malware außerhalb des **Google Play Store** verwendet werden.