Le Telegram Mini Apps sono finite al centro di una massiccia operazione fraudolenta che sfrutta le funzionalità della popolare piattaforma di messaggistica per mettere in piedi truffe legate alle criptovalute, imitare marchi famosi e distribuire malware Android. Una scoperta che mette in evidenza quanto possano essere versatili (e pericolosi) gli strumenti integrati di Telegram, quando finiscono nelle mani sbagliate.
Come funziona la piattaforma FEMITBOT
I ricercatori di CTM360 hanno individuato e documentato l’intera infrastruttura, ribattezzata FEMITBOT, un nome che deriva da una stringa trovata nelle risposte API dei server coinvolti. Il meccanismo è tanto semplice quanto efficace: i truffatori creano bot su Telegram che, una volta avviati dall’utente con il classico pulsante “Start”, lanciano una Mini App all’interno del browser integrato della piattaforma. Quello che appare è a tutti gli effetti un sito di phishing, ma la vittima lo percepisce come parte dell’app stessa, il che rende tutto molto più credibile.
Per chi non lo sapesse, le Telegram Mini Apps sono applicazioni web leggere che girano dentro il browser interno di Telegram. Permettono di fare pagamenti, accedere a servizi e usare strumenti interattivi senza mai uscire dall’app. Ed è proprio questa integrazione così fluida a renderle uno strumento ideale per chi vuole ingannare le persone. Le truffe crypto condotte attraverso FEMITBOT sono di vario tipo: finte piattaforme di investimento in criptovalute, servizi finanziari fasulli, strumenti di intelligenza artificiale inesistenti e siti di streaming contraffatti. In molte campagne, i truffatori hanno impersonato brand di primo piano come Apple, Coca Cola, Disney, eBay, IBM, Moon Pay, NVIDIA e YouKu, il tutto appoggiandosi alla stessa infrastruttura backend ma cambiando domini e bot di volta in volta.
Dashboard fasulle e tecniche di pressione psicologica
Una volta dentro la Mini App, le vittime si trovano davanti a dashboard che mostrano saldi finti o presunti “guadagni”, spesso accompagnati da timer con il conto alla rovescia o offerte a tempo limitato. L’obiettivo è chiaro: creare un senso di urgenza che spinga a non ragionare troppo. Quando poi l’utente prova a prelevare i fondi mostrati, gli viene chiesto di effettuare un deposito o completare attività di referral. Una tecnica classica delle truffe a pagamento anticipato, che funziona ancora sorprendentemente bene.
L’infrastruttura è progettata per essere modulare: gli attaccanti possono cambiare brand, lingua e tema delle campagne con estrema facilità. Vengono utilizzati anche script di tracciamento, come i pixel di Meta e TikTok, per monitorare l’attività degli utenti, misurare le conversioni e probabilmente ottimizzare le campagne future.
La distribuzione di malware Android tramite file APK
Alcune di queste Telegram Mini Apps non si limitano al phishing, ma tentano di distribuire vero e proprio malware sotto forma di file APK per Android. Tra i brand imitati per rendere i file più credibili figurano BBC, NVIDIA, CineTV, Coreweave e Claro. Gli utenti vengono invitati a scaricare questi file APK, aprire link nel browser interno dell’app o installare progressive web app che imitano software legittimi.
I nomi dei file sono scelti con cura per somigliare ad applicazioni reali oppure usano nomi dall’aspetto casuale che non destano sospetti immediati. I file vengono ospitati sullo stesso dominio dell’API, garantendo la validità del certificato TLS ed evitando gli avvisi di contenuto misto nel browser.
Il consiglio dei ricercatori è molto diretto: massima cautela quando un bot su Telegram propone investimenti crypto o chiede di lanciare Mini Apps, soprattutto se viene richiesto di depositare denaro o scaricare applicazioni. Come regola generale, gli utenti Android dovrebbero evitare il sideloading di file APK, che resta uno dei metodi più diffusi per distribuire malware al di fuori del Google Play Store.
Rimani aggiornato seguendoci su Google News!
