Des chercheurs de **CTM360** ont identifié une plateforme sophistiquée, nommée FEMITBOT d'après une chaîne de caractères trouvée dans les réponses d'API, qui utilise les bots et les Mini Apps intégrées de **Telegram** pour créer des expériences convaincantes, semblables à des applications, directement dans la plateforme de messagerie. Les Mini Apps **Telegram** sont des applications web légères qui s'exécutent dans le navigateur intégré de **Telegram**, permettant des services tels que les paiements, l'accès aux comptes et des outils interactifs sans que les utilisateurs n'aient à quitter l'application. ## Exploitation des Mini Apps Telegram Selon le rapport de **CTM360**, la plateforme FEMITBOT est utilisée pour mener plusieurs types d'escroqueries, notamment de fausses plateformes de cryptomonnaies, des services financiers, des outils d'IA et des sites de streaming. Les acteurs malveillants usurpent l'identité de marques largement reconnues pour accroître leur crédibilité et leur engagement, tout en utilisant la même infrastructure backend avec différents domaines et bots **Telegram**. Parmi les marques usurpées dans cette campagne figurent **Apple**, **Coca-Cola**, **Disney**, **eBay**, **IBM**, **Moon Pay**, **NVIDIA** et **YouKu**.  Les chercheurs indiquent que l'activité utilise un backend partagé, où plusieurs domaines de phishing utilisent la même réponse d'API, "Welcome to join the FEMITBOT platform", indiquant qu'ils utilisent tous la même infrastructure.  L'opération utilise des bots **Telegram** pour afficher des sites de phishing directement dans la plateforme de médias sociaux. Lorsqu'un utilisateur interagit avec un bot et clique sur "Start", le bot lance une Mini App qui affiche une page de phishing dans le WebView intégré de **Telegram**, la faisant apparaître comme faisant partie de l'application elle-même. Une fois à l'intérieur, les victimes se voient présenter des tableaux de bord avec de faux soldes ou des "gains", souvent accompagnés de comptes à rebours ou d'offres à durée limitée pour créer un sentiment d'urgence. Lorsque les utilisateurs tentent de retirer des fonds, ils sont invités à effectuer un dépôt ou à accomplir des tâches de parrainage, une tactique courante dans les escroqueries d'investissement et les escroqueries à l'avance de frais. Les chercheurs indiquent que l'infrastructure est conçue pour être utilisée dans différentes campagnes, permettant aux attaquants de changer facilement de marque, de langue et de thème. Les campagnes utilisent également des scripts de suivi, tels que les pixels de suivi de **Meta** et **TikTok**, pour suivre l'activité des utilisateurs, mesurer les conversions et probablement optimiser les performances. Certaines Mini Apps ont également tenté de distribuer des malwares sous forme d'APK Android qui usurpaient l'identité de marques telles que **BBC**, **NVIDIA**, **CineTV**, **Coreweave** et **Claro**.  Les utilisateurs sont invités à télécharger des fichiers APK Android, à ouvrir des liens dans le navigateur intégré, ou à installer des applications web progressives qui imitent des logiciels légitimes. "Les noms de fichiers APK sont soigneusement choisis pour ressembler à des applications légitimes ou utilisent des noms aléatoires qui ne déclenchent pas immédiatement la suspicion", explique **CTM360**. "Les APK sont hébergés sur le même domaine que l'API, garantissant la validité du certificat TLS et évitant les avertissements de contenu mixte dans le navigateur." Les utilisateurs doivent être prudents lorsqu'ils interagissent avec des bots **Telegram** qui promeuvent des investissements en crypto ou les invitent à lancer des Mini Apps, surtout s'ils sont invités à déposer des fonds ou à télécharger des applications. En règle générale, les utilisateurs Android doivent éviter le sideloading des fichiers APK, qui sont couramment utilisés pour distribuer des malwares en dehors du **Google Play Store**.