Telegram Mini Apps 被用于加密诈骗，Android 恶意软件投递

Source: Bleeping Computer

滥用 Telegram 小程序

CTM360 的一份报告（被 BleepingComputer 引用）将该平台——名为 FEMITBOT——描述为在 API 响应中出现的字符串，用于驱动 Telegram 机器人和嵌入式小程序，在消息平台内直接创建令人信服的、类似应用的体验。

FEMITBOT 平台被用于多种诈骗类型，包括假冒加密货币平台、金融服务、AI 工具和流媒体站点。威胁行为者冒充广为人知的品牌以提升可信度，并在不同域名和机器人之间复用相同的后端基础设施。

冒充的品牌

• Apple
• Coca‑Cola
• Disney
• eBay
• IBM
• Moon Pay
• NVIDIA
• YouKu

来源: CTM360

研究人员观察到一个共享的后端，多个钓鱼域名返回相同的 API 响应：

“Welcome to join the FEMITBOT platform”

来源: CTM360

该运营使用 Telegram 机器人直接在平台内显示钓鱼站点。当用户点击机器人的 Start 按钮时，会启动一个小程序，在 Telegram 的 WebView 中展示钓鱼页面，使其看起来像是原生应用的一部分。在小程序内部，受害者会看到带有假余额或“收益”的仪表盘，常常配有倒计时或限时优惠，以制造紧迫感。尝试提现时会被要求进行存款或完成推荐任务——这是投资和预付费诈骗的常见手段。

该基础设施可在不同活动之间复用，攻击者可以轻松切换品牌、语言和主题。追踪脚本（如 Meta 和 TikTok 像素）被嵌入其中，以监控用户行为、衡量转化并优化效果。

Android 恶意软件分发

部分小程序还分发冒充 BBC、NVIDIA、CineTV、Coreweave 和 Claro 等品牌的 Android APK。

来源: CTM360

受害者被提示下载 APK 文件、在应用内浏览器中打开链接，或安装模仿合法软件的渐进式网络应用。文件名被设计得类似合法应用，或使用随机看似无害的名称，以免立即引起怀疑。这些 APK 与 API 所在的同一域名托管，确保有效的 TLS 证书，避免混合内容警告。

建议

• 在与宣传加密投资或要求启动小程序的 Telegram 机器人交互时保持警惕，尤其是当它们要求存款或下载应用时。
• Android 用户应避免侧载 APK 文件，因为这是一种常见的、通过 Google Play 商店之外渠道分发恶意软件的向量。