Los investigadores de ciberseguridad han identificado una importante operación de fraude que utiliza la función Mini App de Telegram para estafas con criptomonedas, suplantación de marca y distribución de malware para Android. La operación, conocida como FEMITBOT, aprovecha los bots de Telegram y las miniaplicaciones integradas para ofrecer experiencias convincentes directamente dentro de la aplicación.
El informe CTM360 indica que FEMITBOT realiza diversas estafas, incluidas plataformas de criptomonedas falsas y servicios financieros fraudulentos, haciéndose pasar por marcas conocidas. Esta táctica mejora la credibilidad de la operación, permitiéndole atraer a usuarios desprevenidos.
Se han suplantado marcas como Apple, Coca-Cola, Disney e IBM, empleando una infraestructura común con múltiples dominios de phishing que comparten la misma respuesta API: «Bienvenido a unirse a la plataforma FEMITBOT». Esto indica un backend unificado para la operación de fraude.
Los bots de Telegram presentan sitios de phishing dentro de la propia plataforma. Los usuarios que interactúan con estos bots y hacen clic en «Iniciar» son redirigidos a una mini aplicación que muestra una página de phishing en el WebView integrado de Telegram. A las víctimas a menudo se les muestran paneles de control falsos que muestran saldos o ganancias ficticios, mejorados con temporizadores de cuenta regresiva para crear urgencia.
Cuando los usuarios intentan retirar fondos, se les indica que depositen más dinero o completen varias tareas de referencia, una táctica que se observa comúnmente en las estafas. La infraestructura que respalda FEMITBOT permite ajustes rápidos en diferentes campañas, lo que facilita a los atacantes modificar la marca, los idiomas y los temas.
Además, las campañas de estafa incorporan scripts de seguimiento como píxeles Meta y TikTok para monitorear la actividad del usuario y optimizar la participación. Algunas miniaplicaciones distribuyen malware para Android, haciéndose pasar por marcas como la BBC y NVIDIA. A menudo se insta a los usuarios a descargar archivos APK o abrir enlaces en el navegador de la aplicación, lo que lleva a instalaciones de software potencialmente dañinas.
CTM360 explica: «Los nombres de los archivos APK se eligen cuidadosamente para que se parezcan a aplicaciones legítimas o utilicen nombres de apariencia aleatoria que no generen sospechas inmediatas». Los APK están alojados en el mismo dominio que la API, lo que garantiza certificados TLS válidos para evitar advertencias del navegador.
Los expertos aconsejan a los usuarios que tengan cuidado con los bots de Telegram que sugieren inversiones en criptomonedas, especialmente aquellos que solicitan depósitos o descargas de aplicaciones. También se advierte a los usuarios de Android que eviten la descarga de archivos APK, ya que estas prácticas con frecuencia conducen a la distribución de malware fuera de Google Play Store.
