Pesquisadores da **CTM360** identificaram uma plataforma sofisticada, nomeada FEMITBOT com base em uma string encontrada em respostas de API, que utiliza bots do **Telegram** e Mini Apps incorporados para criar experiências convincentes, semelhantes a aplicativos, diretamente na plataforma de mensagens. Mini Apps do **Telegram** são aplicativos web leves que rodam dentro do navegador integrado do **Telegram**, permitindo serviços como pagamentos, acesso a contas e ferramentas interativas sem que os usuários precisem sair do aplicativo. ## Abusando dos Mini Apps do Telegram De acordo com o relatório da **CTM360**, a plataforma FEMITBOT é usada para realizar múltiplos tipos de golpes, incluindo plataformas falsas de criptomoedas, serviços financeiros, ferramentas de IA e sites de streaming. Atores de ameaças se passam por marcas amplamente reconhecidas para aumentar a credibilidade e o engajamento, enquanto utilizam a mesma infraestrutura de backend com diferentes domínios e bots do **Telegram**. Algumas das marcas que se passaram nesta campanha incluem **Apple**, **Coca-Cola**, **Disney**, **eBay**, **IBM**, **Moon Pay**, **NVIDIA** e **YouKu**.  Pesquisadores afirmam que a atividade utiliza um backend compartilhado, onde múltiplos domínios de phishing usam a mesma resposta de API, "Welcome to join the FEMITBOT platform" (Bem-vindo à plataforma FEMITBOT), indicando que todos estão usando a mesma infraestrutura.  A operação usa bots do **Telegram** para exibir sites de phishing diretamente dentro da plataforma de mídia social. Quando um usuário interage com um bot e clica em "Start" (Iniciar), o bot lança um Mini App que exibe uma página de phishing no WebView integrado do **Telegram**, fazendo parecer que faz parte do próprio aplicativo. Uma vez dentro, as vítimas são apresentadas a painéis com saldos falsos ou "ganhos", frequentemente acompanhados por contadores regressivos ou ofertas por tempo limitado para criar um senso de urgência. Quando os usuários tentam sacar fundos, são solicitados a fazer um depósito ou completar tarefas de referência, uma tática comum em golpes de investimento e de pagamento antecipado. Os pesquisadores afirmam que a infraestrutura é projetada para ser usada em diferentes campanhas, permitindo que os atacantes troquem facilmente de marca, idioma e tema. As campanhas também utilizam scripts de rastreamento, como pixels de rastreamento do **Meta** e **TikTok**, para monitorar a atividade dos usuários, medir conversões e, provavelmente, otimizar o desempenho. Alguns Mini Apps também tentaram distribuir malware na forma de APKs para Android que se passavam por marcas como **BBC**, **NVIDIA**, **CineTV**, **Coreweave** e **Claro**.  Os usuários são solicitados a baixar arquivos APK para Android, abrir links dentro do navegador no aplicativo ou instalar aplicativos web progressivos que imitam softwares legítimos. "Os nomes dos arquivos APK são cuidadosamente escolhidos para se assemelharem a aplicativos legítimos ou usam nomes de aparência aleatória que não acionam suspeitas imediatamente", explica a **CTM360**. "Os APKs são hospedados no mesmo domínio da API, garantindo a validade do certificado TLS e evitando avisos de conteúdo misto no navegador." Os usuários devem ter cautela ao interagir com bots do **Telegram** que promovem investimentos em criptomoedas ou os solicitam a iniciar Mini Apps, especialmente se forem solicitados a depositar fundos ou baixar aplicativos. Como regra geral, usuários de Android devem evitar o sideloading de arquivos APK, que são comumente usados para distribuir malware fora da **Google Play Store**.