Des experts en cybersécurité ont détecté une vaste opération de fraude exploitant la fonctionnalité Telegram Mini Apps pour orchestrer des arnaques aux cryptomonnaies, usurper l’identité de marques célèbres et diffuser des malwares destinés à Android.
Selon un rapport de CTM360, la plateforme nommée FEMITBOT – identifiée via une chaîne de caractères dans les réponses d’API – repose sur des bots Telegram et des Mini Apps intégrées pour proposer des interfaces convaincantes au sein même de l’application de messagerie.
Les Mini Apps Telegram consistent en des applications web légères exécutées dans le navigateur intégré de l’app, permettant des paiements, un accès aux comptes ou des outils interactifs sans quitter l’environnement.
Exploitation des Mini Apps Telegram
Le document de CTM360 révèle que FEMITBOT sert à plusieurs escroqueries, comme des plateformes crypto fictives, des services financiers bidons, des outils d’IA ou des sites de streaming illusoires.
Les cybercriminels usurpent des marques renommées pour gagner en crédibilité, en mobilisant une infrastructure backend commune associée à divers domaines et bots Telegram.
Parmi les impersonations relevées figurent Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA et YouKu.
Source: CTM360
Les analyses montrent un backend unifié : plusieurs domaines de phishing partagent la même réponse API, « Welcome to join the FEMITBOT platform », confirmant l’usage d’une infrastructure unique.
Source: CTM360
Les bots Telegram déploient des pages de phishing au sein de la plateforme sociale. Un clic sur « Start » active une Mini App qui affiche le contenu frauduleux dans le WebView intégré, simulant une intégration native.
Les victimes découvrent des tableaux de bord avec des soldes ou gains fictifs, accompagnés de compteurs à rebours ou d’offres limitées pour accentuer la pression.
À la tentative de retrait, les escrocs exigent un dépôt préalable ou des recrutements, technique classique des fraudes d’investissement et des avances de frais.
L’infrastructure de FEMITBOT facilite les adaptations rapides de logos, langues et thèmes entre campagnes.
Des scripts de suivi, comme les pixels Meta et TikTok, monitorent les interactions pour évaluer les conversions et affiner les attaques.
Certaines Mini Apps propagent des malwares sous forme d’APK Android imitant BBC, NVIDIA, CineTV, Coreweave ou Claro.
Source: CTM360
Les utilisateurs téléchargent ces fichiers APK, cliquent sur des liens dans le navigateur intégré ou installent des applications web progressives contrefaisant des logiciels légitimes.
Les noms des APK imitent des apps authentiques ou adoptent des appellations anodines pour éviter les soupçons immédiats, précisent les chercheurs de CTM360.
Hébergés sur le domaine de l’API, ces APK bénéficient de certificats TLS valides, contournant les alertes de contenu mixte.