Aplikasi Mini Telegram disalahgunakan untuk penipuan kripto, pengiriman malware Android

Peneliti keamanan siber telah mengungkap operasi penipuan berskala besar yang menggunakan fitur Aplikasi Mini Telegram untuk menjalankan penipuan kripto, menyamar sebagai merek terkenal, dan mendistribusikan malware Android.

Sebuah laporan baru dari CTM360 mengatakan bahwa platform tersebut, yang dijuluki FEMITBOT, didasarkan pada string yang ditemukan dalam respons API dan menggunakan bot Telegram serta Aplikasi Mini yang tertanam untuk menciptakan pengalaman yang meyakinkan dan mirip aplikasi langsung di dalam platform perpesanan.

Aplikasi Telegram Mini adalah aplikasi web yang ringan yang berjalan di dalam browser bawaan Telegram, memungkinkan layanan seperti pembayaran, akses akun, dan alat interaktif tanpa mengharuskan pengguna keluar dari aplikasi.

Menyalahgunakan aplikasi mini Telegram

Menurut a laporan CTM360 dibagikan dengan BleepingComputer, platform FEMITBOT digunakan untuk melakukan berbagai jenis penipuan, termasuk platform mata uang kripto palsu, layanan keuangan, alat AI, dan situs streaming.

Dalam berbagai kampanye, pelaku ancaman menyamar sebagai merek terkenal untuk meningkatkan kredibilitas dan keterlibatan, sambil menggunakan infrastruktur backend yang sama dengan domain dan bot Telegram yang berbeda.

Beberapa merek yang ditiru dalam kampanye ini antara lain Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA, YouKu,

Para peneliti mengatakan aktivitas tersebut menggunakan backend bersama, di mana beberapa domain phishing menggunakan respons API yang sama, “Selamat datang untuk bergabung dengan platform FEMITBOT,” yang menunjukkan bahwa mereka semua menggunakan infrastruktur yang sama.

Operasi tersebut menggunakan bot Telegram untuk menampilkan situs phishing langsung di dalam platform media sosial. Saat pengguna berinteraksi dengan bot dan mengklik “Mulai”, bot tersebut meluncurkan Aplikasi Mini yang menampilkan halaman phishing di WebView bawaan Telegram, menjadikannya muncul sebagai bagian dari aplikasi itu sendiri.

Begitu masuk, korban diperlihatkan dasbor dengan saldo atau “penghasilan” palsu, sering kali dipasangkan dengan penghitung waktu mundur atau penawaran waktu terbatas untuk menciptakan rasa urgensi.

Ketika pengguna mencoba menarik dana, mereka diminta untuk melakukan deposit atau menyelesaikan tugas rujukan, sebuah taktik umum dalam penipuan investasi dan biaya di muka.

Para peneliti mengatakan infrastruktur tersebut dirancang untuk digunakan di berbagai kampanye, memungkinkan penyerang dengan mudah mengganti merek, bahasa, dan tema.

Kampanye tersebut juga menggunakan skrip pelacakan, seperti piksel pelacakan Meta dan TikTok, untuk melacak aktivitas pengguna, mengukur konversi, dan kemungkinan mengoptimalkan kinerja.

Beberapa Mini Apps juga berupaya mendistribusikan malware dalam bentuk APK Android yang menyamar sebagai merek seperti BBC, NVIDIA, CineTV, Coreweave, dan Claro.

Pengguna diminta untuk mengunduh file APK Android, membuka tautan dalam browser dalam aplikasi, atau memasang aplikasi web progresif yang meniru perangkat lunak yang sah.

“Nama file APK dipilih dengan cermat agar menyerupai aplikasi yang sah atau menggunakan nama yang tampak acak sehingga tidak langsung menimbulkan kecurigaan,” jelas CTM360.

“APK dihosting di domain yang sama dengan API, memastikan validitas sertifikat TLS dan menghindari peringatan konten campuran di browser.”

Pengguna harus berhati-hati saat berinteraksi dengan bot Telegram yang mempromosikan investasi kripto atau meminta mereka meluncurkan Mini Apps, terutama jika mereka diminta menyetor dana atau mengunduh aplikasi.

Sebagai aturan umum, pengguna Android harus menghindari melakukan sideload file APK, yang biasanya digunakan untuk mendistribusikan malware di luar Google Play Store.