Telegram Mini Apps als Plattform für Krypto-Betrug und Android-Malware

Zusammenfassung

Sicherheitsforscher haben eine groß angelegte Betrugsoperation aufgedeckt, die das Mini-App-Feature von Telegram missbraucht, um Krypto-Betrug zu betreiben, bekannte Marken zu imitieren und Android-Malware zu verbreiten. Ein Bericht des Anbieters CTM360, der BleepingComputer vorliegt, bezeichnet die zugrunde liegende Plattform als FEMITBOT — benannt nach einer Zeichenkette, die in API-Antworten auftaucht. Die Plattform nutzt Telegram-Bots und eingebettete Mini Apps, um direkt im Messenger überzeugende, app-ähnliche Oberflächen zu erzeugen. Telegram Mini Apps sind schlanke Web-Anwendungen, die im integrierten Browser von Telegram laufen und Dienste wie Zahlungen, Kontozugriff oder interaktive Werkzeuge bereitstellen, ohne dass Nutzer die App verlassen müssen. Laut CTM360 dient FEMITBOT für mehrere Betrugsarten: gefälschte Kryptoplattformen, Finanzdienste, KI-Werkzeuge und Streaming-Seiten. In verschiedenen Kampagnen geben sich die Täter als bekannte Marken aus, um Glaubwürdigkeit und Interaktion zu erhöhen, während im Hintergrund dieselbe Infrastruktur mit wechselnden Domains und Telegram-Bots zum Einsatz kommt.

Den gemeinsamen Unterbau belegen die Forscher anhand der API-Antworten: Mehrere Phishing-Domains liefern dieselbe Rückmeldung „Willkommen auf der FEMITBOT-Plattform" — ein Hinweis darauf, dass sie alle dieselbe Infrastruktur verwenden. Zu den imitierten Marken zählen laut CTM360 unter anderem Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA und YouKu.

Der Ablauf folgt einem festen Muster. Über Telegram-Bots werden Phishing-Seiten direkt im Messenger angezeigt. Klickt ein Nutzer nach der Interaktion mit einem Bot auf „Start", öffnet der Bot eine Mini App, die eine Phishing-Seite in der eingebauten WebView von Telegram darstellt — sie wirkt dadurch wie ein Teil der App selbst.

Im Inneren sehen die Opfer Oberflächen mit gefälschten Guthaben oder „Erträgen", häufig kombiniert mit Countdown-Timern oder zeitlich begrenzten Angeboten, um Druck aufzubauen. Versuchen Nutzer, Geld auszuzahlen, werden sie aufgefordert, zunächst eine Einzahlung zu leisten oder Empfehlungsaufgaben zu erfüllen — eine gängige Masche bei Investment- und Vorschussbetrug.

Die Infrastruktur ist darauf ausgelegt, kampagnenübergreifend genutzt zu werden, sodass die Angreifer Branding, Sprache und Themen leicht austauschen können. Zusätzlich kommen Tracking-Skripte zum Einsatz, etwa Tracking-Pixel von Meta und TikTok, um das Verhalten der Nutzer zu verfolgen, Conversions zu messen und die Kampagnen vermutlich zu optimieren.

Ein Teil der Mini Apps versuchte zudem, Malware in Form von Android-APKs zu verbreiten, die sich als Anwendungen von Marken wie BBC, NVIDIA, CineTV, Coreweave und Claro ausgaben. Nutzer werden dabei aufgefordert, APK-Dateien herunterzuladen, Links im integrierten Browser zu öffnen oder progressive Web-Apps zu installieren, die legitime Software nachahmen.

„Die Dateinamen der APKs sind sorgfältig so gewählt, dass sie legitimen Anwendungen ähneln oder zufällig wirkende Namen tragen, die nicht sofort Verdacht erregen", erklärt CTM360. Die APKs lägen auf derselben Domain wie die API, was die Gültigkeit des TLS-Zertifikats sicherstelle und Warnungen wegen gemischter Inhalte im Browser vermeide.

CTM360 rät zur Vorsicht bei Telegram-Bots, die für Krypto-Investments werben oder zum Start von Mini Apps auffordern — insbesondere, wenn dabei Einzahlungen oder App-Downloads verlangt werden. Android-Nutzer sollten zudem das Querinstallieren von APK-Dateien meiden, da dies ein verbreiteter Weg ist, Malware außerhalb des Google Play Store zu verteilen.

Telegram Mini Apps als Plattform für Krypto-Betrug und Android-Malware

Ähnliche Artikel

Neueste Artikel