Investigadores de **CTM360** han identificado una plataforma sofisticada, llamada FEMITBOT basándose en una cadena encontrada en respuestas de API, que aprovecha los bots de **Telegram** y las Mini Apps integradas para crear experiencias convincentes, similares a aplicaciones, directamente dentro de la plataforma de mensajería. Las Mini Apps de **Telegram** son aplicaciones web ligeras que se ejecutan dentro del navegador integrado de **Telegram**, permitiendo servicios como pagos, acceso a cuentas y herramientas interactivas sin que los usuarios necesiten abandonar la aplicación. ## Abuso de Mini Apps de Telegram Según el informe de **CTM360**, la plataforma FEMITBOT se utiliza para llevar a cabo múltiples tipos de estafas, incluyendo plataformas falsas de criptomonedas, servicios financieros, herramientas de IA y sitios de streaming. Los actores de amenazas suplantan marcas ampliamente reconocidas para aumentar la credibilidad y la participación, mientras utilizan la misma infraestructura de backend con diferentes dominios y bots de **Telegram**. Algunas de las marcas suplantadas en esta campaña incluyen **Apple**, **Coca-Cola**, **Disney**, **eBay**, **IBM**, **Moon Pay**, **NVIDIA** y **YouKu**.  Los investigadores señalan que la actividad utiliza un backend compartido, donde múltiples dominios de phishing usan la misma respuesta de API, "Welcome to join the FEMITBOT platform", indicando que todos utilizan la misma infraestructura.  La operación utiliza bots de **Telegram** para mostrar sitios de phishing directamente dentro de la plataforma de redes sociales. Cuando un usuario interactúa con un bot y hace clic en "Start", el bot lanza una Mini App que muestra una página de phishing en el WebView integrado de **Telegram**, haciendo que parezca parte de la aplicación misma. Una vez dentro, a las víctimas se les muestran paneles con saldos falsos o "ganancias", a menudo acompañados de temporizadores o ofertas por tiempo limitado para crear una sensación de urgencia. Cuando los usuarios intentan retirar fondos, se les solicita que realicen un depósito o completen tareas de referencia, una táctica común en estafas de inversión y tarifas anticipadas. Los investigadores afirman que la infraestructura está diseñada para ser utilizada en diferentes campañas, permitiendo a los atacantes cambiar fácilmente de marca, idioma y temas. Las campañas también utilizan scripts de seguimiento, como píxeles de seguimiento de **Meta** y **TikTok**, para rastrear la actividad de los usuarios, medir conversiones y probablemente optimizar el rendimiento. Algunas Mini Apps también intentaron distribuir malware en forma de APKs para Android que suplantaban marcas como **BBC**, **NVIDIA**, **CineTV**, **Coreweave** y **Claro**.  Se solicita a los usuarios que descarguen archivos APK para Android, abran enlaces dentro del navegador de la aplicación o instalen aplicaciones web progresivas que imiten software legítimo. "Los nombres de archivo de los APK se eligen cuidadosamente para parecerse a aplicaciones legítimas o para usar nombres de aspecto aleatorio que no generen sospechas de inmediato", explica **CTM360**. "Los APK se alojan en el mismo dominio que la API, lo que garantiza la validez del certificado TLS y evita advertencias de contenido mixto en el navegador." Los usuarios deben ser cautelosos al interactuar con bots de **Telegram** que promueven inversiones en criptomonedas o les solicitan que inicien Mini Apps, especialmente si se les pide que depositen fondos o descarguen aplicaciones. Como regla general, los usuarios de Android deben evitar la carga lateral de archivos APK, que se utilizan comúnmente para distribuir malware fuera de la **Google Play Store**.