Kryptobetrüger missbrauchen Telegram-Mini-Apps für gefälschte Plattformen

FEMITBOT, ein groß angelegtes Betrugsnetzwerk, nutzt die Mini-App-Funktion von Telegram, um gefälschte Krypto-Plattformen zu betreiben, sich als bekannte Marken auszugeben und schädliche Android-Malware zu versenden. 

Laut CTM360, einem Cybersicherheitsunternehmen, nutzt die Betrugsmasche Telegram-Bots und eingebettete Mini-Apps, um Phishing-Oberflächen zu erstellen, die direkt im integrierten Browser von Telegram geladen werden.

Die Betrugsseiten wirken realistischer als ein normaler Phishing-Link, der per E-Mail oder SMS verschickt wird, weil die Opfer die Messaging-App nie verlassen.

FEMITBOT nutzt Telegram, um Opfer zu finden

Telegram Mini Apps sind kleine Web-Apps, die innerhalb der WebView von Telegram laufen.

Sie ermöglichen es Nutzern, Zahlungen zu tätigen, auf Konten zuzugreifen und interaktive Tools zu nutzen, ohne eine separate App oder einen Browser installieren zu müssen.

Die Betreiber von FEMITBOT haben diese einfache Bedienbarkeit in eine Waffe verwandelt.

Wenn ein Opfer bei einem der gefälschten Bots auf „Start“ klickt, öffnet sich eine Mini-App, die eine Phishing-Seite anzeigt, die wie ein Krypto-Investitions-Dashboard aussieht.

Auf den Seiten werden gefälschte Kontostände und Gewinne angezeigt, und oft gibt es Countdown-Timer oder zeitlich begrenzte Angebote, die den Eindruck erwecken sollen, dass die Nutzer schnell handeln müssen.

Die finanzielletracerfolgt während des Auszahlungsprozesses.

Wer versucht, seine angeblichen Gewinne cash zu lassen, wird aufgefordert, zuerst echtes Geld einzuzahlen oder Empfehlungsaufgaben zu erledigen. Dies ist eine gängige Masche bei Vorschussbetrug und Schweineschlachtungen.

FEMITBOT imitiert Marken in großem Umfang

Sicherheitsforscher bezeichnen die Architektur von FEMITBOT als „modular und vorlagenbasiert“.

Das gemeinsam genutzte Backend ermöglicht es den Betreibern, Branding, Sprachen und visuelle Themen von Kampagnen zu ändern, während die Infrastruktur gleich bleibt.

Forscher von CTM360 bestätigten den Zusammenhang, indem sie eine gemeinsame API-Antwortzeichenfolge fanden: „Willkommen auf der FEMITBOT-Plattform“, die von mehreren Phishing-Domains zurückgesendet wurde.

Einige der gefälschten Marken stammten aus der Kryptowelt, darunter Bitget, OKX, Binanceund MoonPay.

Die große Bandbreite der Identitätsfälschungen lässt vermuten, dass die Operation darauf abzielt, eine große Anzahl von Menschen weltweit zu erreichen.

Die Kampagnen nutzen auch trac, das der Werbung ähnelt.

„Die beobachtete Infrastruktur integriert Conversion- trac-Mechanismen von Meta-Plattformen (Facebook/Instagram) und TikTok in ihre Abläufe“, schrieben die Forscher von CTM360.

Einige FEMITBOT Mini-Apps verwenden Meta- und TikTok trac-Pixel, um das Nutzerverhalten zu überwachen, die Konversionsrate zu ermitteln und die Performance ihrer Kampagnen mithilfe von Techniken aus dem realen digitalen Marketing zu verbessern.

Betrüger verbreiten Schadsoftware über gefälschte APKs

Einige FEMITBOT Mini-Apps begehen nicht nur Finanzbetrug, sondern verbreiten auch Android-Malware, die wie echte Apps aussieht.

Sicherheitsforscher entdeckten APK-Dateien, die vorgaben, von Marken wie Netflix, BBC, NVIDIA, CineTV, Coreweave und Claro zu stammen.

Das Unternehmen gab an , dass die APK-Dateien auf derselben Domain wie die API der Kampagne gehostet werden. Dadurch wird sichergestellt, dass die TLS-Zertifikate gültig sind und keine Browser-Sicherheitswarnungen angezeigt werden, die Opfer alarmieren könnten.

Die Nutzer werden aufgefordert, die APK-Dateien per Sideloading zu installieren, Links im Browser der App zu öffnen oder progressive Web-Apps zu installieren, die wie echte Software aussehen.

Die Malware-Komponente von FEMITBOT ist besonders gefährlich für Android-Nutzer.

Eine der häufigsten Methoden, mit denen Schadsoftware auf Ihr Handy gelangt, ist das manuelle Installieren von APK-Dateien von außerhalb des Google Play Stores.

Durch die Verwendung übereinstimmender TLS-Zertifikate durch FEMITBOT sind die Downloads auf den ersten Blick schwerer von echten Dateien zu unterscheiden.

Wenn ein Telegram-Bot Nutzer dazu auffordert, in Kryptowährungen zu investieren, unrealistische Renditen verspricht oder von ihnen verlangt, Geld einzuzahlen, bevor sie es abheben können, sollten sie misstrauisch sein.

Countdown-Timer, dringliche Formulierungen und Überweisungsanforderungen sind allesamt Anzeichen für Vorauszahlungsbetrug.

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.