Ricercatori di sicurezza hanno scoperto una piattaforma di frode su larga scala che sfrutta le Mini App di Telegram per rubare soldi in criptovalute e installare malware su Android. Si chiama FEMITBOT e funziona in modo più sofisticato di quanto sembri.
Cos’è FEMITBOT e come trasforma Telegram in una trappola
L’analisi è stata pubblicata questa settimana dai ricercatori di CTM360, che hanno identificato l’infrastruttura condivisa dietro decine di campagne fraudolente. Il nome FEMITBOT viene da una stringa trovata nelle risposte API dei server coinvolti: “Welcome to join the FEMITBOT platform”.
Le Mini App di Telegram usate nelle campagne FEMITBOT sono applicazioni web leggere che girano nel browser integrato di Telegram. L’utente clicca “Start” su un bot, e invece di essere reindirizzato fuori dall’app, si ritrova dentro una pagina di phishing che sembra parte di Telegram stesso.
È un dettaglio tecnico sottile, ma psicologicamente devastante per chi non lo sa.
⚠️ Attenzione: se un bot Telegram ti mostra un “saldo” con guadagni e ti chiede un deposito per prelevare, è quasi certamente una truffa advance-fee. Non versare nulla.
Brand famosi usati come esca: Apple, NVIDIA, Disney e altri
Quello che rende FEMITBOT particolarmente pericoloso è l’impersonificazione di brand che tutti riconoscono. Tra i marchi usati come esca ci sono Apple, NVIDIA, Disney, eBay, IBM e persino Coca-Cola.
L’infrastruttura backend è condivisa, ma i criminali cambiano facilmente branding, lingua e tema per ogni campagna.
Le vittime vedono dashboard con finti guadagni, timer che creano urgenza artificiale, e richieste di completare “task di referral” prima di poter prelevare. È lo stesso schema delle classiche truffe di investimento, solo confezionato dentro Telegram invece che su un sito esterno.
Trovare qualcosa di simile a quello che già conosci su una piattaforma come Telegram abbassa moltissimo il livello di guardia, ed è esattamente quello su cui punta chi ha costruito questa cosa.
Il rischio Android: APK camuffati da app legittime
💡 L’analisi: FEMITBOT dimostra che Telegram è diventato un vettore di attacco primario proprio perché le Mini App abbattono la barriera tra “messaggio” e “applicazione”. Finché Telegram non introduce controlli più severi sulle Mini App distribuite tramite bot pubblici, questo tipo di infrastruttura continuerà a proliferare con costi bassissimi per chi attacca.
Alcune campagne vanno oltre la truffa finanziaria e spingono file APK Android camuffati da app di brand noti come BBC, NVIDIA e CineTV. I file hanno nomi scelti apposta per non destare sospetti, e vengono ospitati sullo stesso dominio dell’API con certificato TLS valido, così il browser non mostra avvisi di sicurezza.
Vale la pena ricordare che installare APK da fonti esterne al Google Play Store è uno dei modi più diretti per ritrovarsi malware sul telefono, e su questo ho già scritto parlando di come certi comportamenti anomali delle app siano spesso il primo segnale di qualcosa che non va.
La mia opinione netta: Telegram ha un problema strutturale con i bot e le Mini App non verificate. La piattaforma offre strumenti potenti agli sviluppatori, ma quella stessa potenza è manna per i truffatori.
Fino a quando non esiste un processo di revisione serio, trattare ogni bot sconosciuto che propone guadagni come una minaccia concreta è l’unica mossa razionale.
Stay tech 🦾
