Thought Leadership
Die Plattform FEMITBOT nutzt Telegram Mini Apps für Krypto-Scams und verbreitet Android-Malware durch gefälschte Markenauftritte.
Die Sicherheitsforscher von CTM360 haben Informationen über eine groß angelegte Betrugsoperation veröffentlicht, die eine spezifische Funktion des Messengers Telegram ausnutzt. Die Plattform, die unter dem Namen FEMITBOT identifiziert wurde, nutzt sogenannte „Telegram Mini Apps“, um Krypto-Betrug zu betreiben, bekannte Marken zu imitieren und bösartige Android-Software (Malware) zu verbreiten. Dieser Vorfall verdeutlicht die wachsende Gefahr durch integrierte Web-Anwendungen innerhalb von Messenger-Plattformen, die von Nutzern oft als sicher eingestuft werden.
Phishing-Seite startet innerhalb von Telegram
Telegram Mini Apps sind leichtgewichtige Webanwendungen, die direkt im internen Browser (WebView) von Telegram ausgeführt werden. Sie ermöglichen es Entwicklern, interaktive Oberflächen für Zahlungen oder Kontoverwaltungen zu erstellen, ohne dass der Nutzer die App verlassen muss. Die Betreiber von FEMITBOT machen sich genau diese Nahtlosigkeit zunutze.
Der Angriff beginnt in der Regel mit einem Bot. Sobald ein Nutzer mit dem Bot interagiert und auf „Start“ klickt, wird eine Mini App gestartet. Da diese innerhalb von Telegram erscheint, entsteht für den Anwender der Eindruck, die Inhalte seien ein legitimer Teil der Plattform. In der WebView wird dann eine Phishing-Seite geladen, die optisch kaum von einer echten App zu unterscheiden ist. Die Forscher von CTM360 stellten fest, dass diese Architektur gezielt eingesetzt wird, um das Vertrauen der Nutzer zu gewinnen und technische Warnungen herkömmlicher Browser zu umgehen.
FEMITBOT verwendet Tracking-Pixel von Meta und TikTok
Ein zentrales Merkmal der Operation ist das gemeinsame Backend. Die Forscher identifizierten in zahlreichen API-Antworten die Zeichenfolge „Welcome to join the FEMITBOT platform“. Dies deutet darauf hin, dass eine Vielzahl unterschiedlicher Phishing-Domains und Telegram-Bots auf dieselbe Infrastruktur zugreifen. Dieser modulare Aufbau erlaubt es den Angreifern, schnell zwischen verschiedenen Kampagnen, Sprachen und Themen zu wechseln, während die technische Basis konstant bleibt.
Zusätzlich setzt FEMITBOT moderne Tracking-Mechanismen ein. Die Kampagnen verwenden Tracking-Pixel von Meta und TikTok, um die Aktivitäten der Opfer zu überwachen und die Konversionsraten der Betrugsseiten zu optimieren. Dies zeigt ein hohes Maß an Professionalität, wie man es sonst aus dem legalen Online-Marketing kennt. Die erhobenen Daten dienen dazu, die Effektivität der Phishing-Seiten kontinuierlich zu verbessern und die Zielgruppenansprache zu verfeinern.
Apple, Coca-Cola, Disney, eBay und IBM missbraucht
Um die Glaubwürdigkeit der Betrugsversuche zu erhöhen, imitiert FEMITBOT eine Vielzahl weltweit bekannter Marken. Zu den missbrauchten Namen gehören unter anderem Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay und NVIDIA. Die Opfer werden auf Dashboards geleitet, die gefälschte Guthaben oder angebliche „Gewinne“ anzeigen.
Um den Druck auf die Nutzer zu erhöhen, setzen die Angreifer auf psychologische Tricks. Countdown-Timer und zeitlich begrenzte Angebote suggerieren eine Dringlichkeit, die zu unüberlegten Handlungen verleiten soll. Sobald Nutzer versuchen, ihre vermeintlichen Gewinne abzuheben, greift das klassische Prinzip des Vorschussbetrugs: Sie werden aufgefordert, zunächst eine Einzahlung zu leisten oder Aufgaben zur Nutzeranwerbung (Referrals) zu erledigen. Die Auszahlung der Gelder erfolgt in keinem der dokumentierten Fälle.
Verbreitung von Android-Malware über APK-Dateien
Neben dem finanziellen Betrug dient die Plattform auch als Verteiler für Schadsoftware. In einigen Kampagnen wurden Nutzer dazu gedrängt, Android-APK-Dateien herunterzuladen. Diese Dateien tarnten sich als legitime Apps von Unternehmen wie der BBC, NVIDIA, CineTV oder Coreweave. Die Dateinamen wurden so gewählt, dass sie entweder seriös wirken oder durch zufällige Zeichenfolgen keinen sofortigen Verdacht erregen.
Die bösartigen APKs werden oft auf denselben Domänen wie die API-Endpunkte gehostet. Dies stellt sicher, dass die TLS-Zertifikate gültig sind und der Browser keine Warnungen wegen unsicherer Inhalte ausgibt. Nach der Installation dieser Apps aus Drittquellen (Sideloading) können die Angreifer weitreichende Zugriffe auf das mobile Gerät erhalten, was den Diebstahl von Zugangsdaten für Banking-Apps oder den Zugriff auf private Nachrichten ermöglicht.
Prävention und Sicherheitsempfehlungen
Die Sicherheitsforscher von CTM360 und Branchenexperten raten zu erhöhter Vorsicht im Umgang mit Telegram-Bots, die Investitionsmöglichkeiten bewerben oder zum Start von Mini Apps auffordern. Grundsätzlich sollten Nutzer misstrauisch sein, wenn innerhalb eines Messengers zur Einzahlung von Geldern oder zum Download von Software-Paketen aufgerufen wird.
Für Android-Nutzer bleibt die wichtigste Sicherheitsregel, das Sideloading von APK-Dateien zu vermeiden und Anwendungen ausschließlich über den offiziellen Google Play Store zu beziehen. Da Mini Apps innerhalb der WebView von Telegram agieren, greifen viele Sicherheitsmechanismen klassischer Desktop-Browser nicht im selben Maße. Administratoren und Sicherheitsbeauftragte in Unternehmen sollten zudem die Nutzung von Telegram-Bots in geschäftlichen Umgebungen kritisch prüfen und Mitarbeiter über die spezifischen Gefahren von integrierten App-Erlebnissen aufklären.
