**CTM360**の研究者らは、APIレスポンス内の文字列に基づきFEMITBOTと命名された洗練されたプラットフォームを特定しました。このプラットフォームは、**Telegram**のボットと組み込まれたミニアプリを活用し、メッセージングプラットフォーム内で直接、説得力のあるアプリのような体験を作り出しています。 **Telegram**ミニアプリは、**Telegram**の組み込みブラウザ内で動作する軽量なウェブアプリケーションであり、ユーザーがアプリを離れることなく、支払い、アカウントアクセス、インタラクティブなツールなどのサービスを可能にします。 ## Telegramミニアプリの悪用 **CTM360**のレポートによると、FEMITBOTプラットフォームは、偽の仮想通貨プラットフォーム、金融サービス、AIツール、ストリーミングサイトなど、複数の種類の詐欺を実行するために使用されています。攻撃者は、同じバックエンドインフラストラクチャを異なるドメインと**Telegram**ボットで使用しながら、広く認識されているブランドになりすますことで、信頼性とエンゲージメントを高めています。 このキャンペーンで偽装されたブランドには、**Apple**、**Coca-Cola**、**Disney**、**eBay**、**IBM**、**Moon Pay**、**NVIDIA**、**YouKu**などが含まれます。  研究者によると、この活動は共有バックエンドを使用しており、複数のフィッシングドメインが同じAPIレスポンス「Welcome to join the FEMITBOT platform」を使用していることから、すべて同じインフラストラクチャを使用していることが示唆されています。  このオペレーションは、**Telegram**ボットを使用して、ソーシャルメディアプラットフォーム内で直接フィッシングサイトを表示します。ユーザーがボットと対話し、「Start」をクリックすると、ボットはミニアプリを起動し、**Telegram**の組み込みWebView内にフィッシングページを表示するため、アプリ自体の一部であるかのように見えます。 一度内部に入ると、被害者には偽の残高または「収益」を示すダッシュボードが表示され、しばしばカウントダウンタイマーや期間限定オファーと組み合わされて、緊急性を演出します。 ユーザーが資金の引き出しを試みると、投資詐欺や前払い詐欺でよく見られる戦術である、入金を求められたり、紹介タスクを完了するように促されたりします。 研究者によると、このインフラストラクチャは異なるキャンペーンで再利用できるように設計されており、攻撃者はブランディング、言語、テーマを簡単に切り替えることができます。 キャンペーンでは、**Meta**や**TikTok**のトラッキングピクセルなどのトラッキングスクリプトも使用され、ユーザーのアクティビティを追跡し、コンバージョンを測定し、パフォーマンスを最適化していると考えられます。 一部のミニアプリは、**BBC**、**NVIDIA**、**CineTV**、**Coreweave**、**Claro**などのブランドを偽装したAndroid APK形式のマルウェアを配布しようとしました。  ユーザーは、Android APKファイルをダウンロードしたり、アプリ内ブラウザ内のリンクを開いたり、正規のソフトウェアを模倣したプログレッシブウェブアプリをインストールするように促されます。 「APKのファイル名は、正規のアプリケーションに似せるか、すぐに疑いを抱かせないランダムな名前を使用するように慎重に選択されています」と**CTM360**は説明しています。 「APKはAPIと同じドメインでホストされており、TLS証明書の有効性を確保し、ブラウザでの混合コンテンツ警告を回避しています。」 ユーザーは、仮想通貨投資を宣伝したり、ミニアプリの起動を促したりする**Telegram**ボット、特に資金の入金やアプリのダウンロードを求められた場合は、注意する必要があります。 一般的なルールとして、Androidユーザーは、**Google Play Store**外でのマルウェア配布によく使用されるAPKファイルのサイドローディングを避けるべきです。