FEMITBOT: Telegram Mini Apps превратились в фабрику по развёртыванию массового мошенничества

Популярность платформы Telegram и её встроенных мини-приложений привела к появлению новой серьёзной угрозы для пользователей по всему миру. Исследователи из CTM360 обнаружили целую преступную инфраструктуру под названием FEMITBOT, которая позволяет злоумышленникам в промышленных масштабах создавать поддельные мини-приложения для выманивания денег. Речь идёт не об отдельных случаях, а о хорошо отлаженном конвейере по изготовлению мошеннических сервисов.

Описание

Telegram Mini Apps представляют собой лёгкие веб-приложения, работающие прямо внутри мессенджера. Они позволяют пользователям проходить авторизацию, совершать платежи и взаимодействовать с сервисом, не покидая приложение. Именно эту возможность и взяли на вооружение создатели FEMITBOT. Они превратили доверенный интерфейс в идеальную ловушку. Злоумышленники маскируют свои вредоносные программы под легитимные сервисы, будь то криптовалютные биржи, стриминговые платформы, финансовые приложения или сервисы на основе искусственного интеллекта.

По данным доклада CTM360, масштаб инфраструктуры FEMITBOT поражает. На момент исследования было выявлено более 60 активных доменов, 146 связанных ботов в Telegram и не менее 15 различных визуальных шаблонов для обмана. Всё это позволяет имитировать свыше 30 известных мировых брендов, включая BBC, Netflix, Binance, NVIDIA, Youku и множество других. Подделки настолько качественны, что жертва с трудом отличит их от оригинала.

Как же работает эта схема? Мошенники заманивают жертв через рекламу в социальных сетях, например в Meta* (Facebook* и Instagram*), или через приглашения в Telegram с обещанием пассивного дохода. Как только пользователь переходит по ссылке и запускает бота, тот сразу предлагает нажать кнопку "Запустить приложение". В этот момент в дело вступает техническая часть. Мини-приложение бесшумно извлекает из Telegram данные пользователя - идентификатор, имя и хеш авторизации. Эти данные передаются на сервер злоумышленника для создания сессии. При этом жертва даже не вводит пароль. Исследователи отметили, что серверная часть использует стандартный метод интеграции с Telegram WebApp SDK, что делает атаки практически незаметными для неопытного пользователя.

После успешной авторизации перед жертвой разворачивается виртуальный спектакль. Панель управления показывает фиктивный доход, который якобы растёт в реальном времени. Для усиления эффекта используются обратные отсчёты "скорости майнинга" или таймеры с предложением занять "ограниченное VIP-место". Но когда пользователь пытается вывести заработанные средства, система блокирует операцию и требует внести небольшой депозит для "активации" счёта. Именно этот депозит и является целью мошенников.

Архитектура FEMITBOT построена по принципу конструктора. В основе лежит приложение на фреймворке Vue.js с библиотекой для выполнения HTTP-запросов Axios. Серверная часть предлагает унифицированный API, который, как выяснили эксперты, возвращает стандартный ответ с фразой "Welcome to join the FEMITBOT platform". Это прямо указывает на то, что все выявленные мошеннические схемы используют один и тот же бэкенд. Злоумышленники лишь меняют "обложку" - скины и брендинг, количество которых достигает 15 базовых вариантов и 22 подвариантов. Система поддерживает авторизацию на основе JWT (JSON Web Token), что обеспечивает сессию сроком до 10 дней без повторного входа.

Особого внимания заслуживает использование злоумышленниками профессиональных инструментов цифрового маркетинга. FEMITBOT интегрирует пиксели отслеживания Meta и TikTok для сбора данных о поведении пользователей. Мошенники отслеживают такие события, как регистрация, внесение первого и последующих депозитов. Это позволяет им анализировать эффективность рекламных кампаний и оптимизировать "воронку продаж" в реальном времени. Такой подход говорит о высоком уровне профессионализма преступной группировки.

Не обошлось и без распространения вредоносных программ. Некоторые из мошеннических сайтов содержат скрытую настройку, которая при активации предлагает пользователю загрузить APK-файл для Android. Вредоносная программа может быть доставлена тремя способами: прямая загрузка, открытие во встроенном браузере самого приложения или появление системного запроса на добавление сайта на домашний экран (PWA). Имена файлов подобраны так, чтобы не вызывать подозрения, и размещаются они на том же домене, что и основной API, дабы избежать предупреждений о смешанном содержимом в браузере.

Данное исследование является логическим продолжением предыдущей работы CTM360 по выявлению мошеннических схем TRAP10, связанных со злоупотреблением Telegram Mini Apps. Очевидно, что угроза не только не исчезает, но и эволюционирует, приобретая индустриальные масштабы. Для специалистов по безопасности это сигнал к тому, чтобы обратить пристальное внимание на проверку подлинности ботов и мини-приложений, с которыми взаимодействуют сотрудники. Для обычных пользователей совет остаётся прежним - не доверять обещаниям лёгкого заработка и не переходить по ссылкам из непроверенных источников, даже если они выглядят как часть привычного интерфейса Telegram.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.