Telegram Mini Apps가 암호화폐 사기와 Android 악성코드 배포에 악용
Source: Bleeping Computer
텔레그램 미니 앱 악용
CTM360이 작성하고 BleepingComputer가 인용한 보고서에 따르면, FEMITBOT이라는 이름의 플랫폼은 API 응답에 포함된 문자열로, 텔레그램 봇과 내장된 미니 앱을 구동해 메시징 플랫폼 내에서 설득력 있는 앱‑같은 경험을 제공한다.
FEMITBOT 플랫폼은 가짜 암호화폐 플랫폼, 금융 서비스, AI 도구, 스트리밍 사이트 등 다양한 사기 유형에 사용된다. 위협 행위자는 널리 알려진 브랜드를 가장해 신뢰성을 높이며, 동일한 백엔드 인프라를 여러 도메인과 봇에 재사용한다.
가장된 브랜드
- Apple
- Coca‑Cola
- Disney
- eBay
- IBM
- Moon Pay
- NVIDIA
- YouKu
Source: CTM360
연구진은 여러 피싱 도메인이 동일한 API 응답을 반환하는 공유 백엔드를 발견했다:
“Welcome to join the FEMITBOT platform”
Source: CTM360
이 운영은 텔레그램 봇을 이용해 피싱 사이트를 플랫폼 내에서 직접 표시한다. 사용자가 봇의 Start 버튼을 클릭하면 미니 앱이 실행되어 텔레그램 WebView에 피싱 페이지를 표시함으로써 네이티브 앱의 일부처럼 보이게 만든다. 미니 앱 안에서는 가짜 잔액이나 “수익” 대시보드가 표시되며, 종종 카운트다운 타이머나 제한된 시간 제안을 함께 제공해 긴박감을 조성한다. 출금 시도는 입금 요청이나 추천 과제와 같은 투자·선불 사기의 전형적인 수법으로 이어진다.
인프라는 캠페인 간에 재사용 가능해 공격자가 브랜드, 언어, 테마를 손쉽게 전환할 수 있다. 메타·틱톡 픽셀과 같은 추적 스크립트가 삽입돼 사용자 활동을 모니터링하고 전환을 측정하며 성과를 최적화한다.
안드로이드 악성코드 배포
일부 미니 앱은 BBC, NVIDIA, CineTV, Coreweave, Claro 등 브랜드를 사칭하는 안드로이드 APK를 배포한다.
Source: CTM360
피해자는 APK 파일을 다운로드하거나 인앱 브라우저 내 링크를 열거나 정식 소프트웨어를 흉내 낸 프로그레시브 웹 앱을 설치하도록 유도받는다. 파일명은 정식 애플리케이션과 유사하게 만들거나 즉시 의심을 일으키지 않는 무작위 이름을 사용한다. APK는 API와 동일한 도메인에 호스팅돼 유효한 TLS 인증서를 보유하고 혼합 콘텐츠 경고를 피한다.
권고 사항
- 암호화폐 투자 홍보나 미니 앱 실행을 요구하는 텔레그램 봇과 상호작용할 때는 특히 입금 요청이나 앱 다운로드를 요구하는 경우 주의한다.
- 안드로이드 사용자는 Google Play 스토어 외부에서 배포되는 악성코드의 일반적인 경로인 APK 파일을 사이드로드하지 말아야 한다.