CyberkriminalitätPhishingMalware

FEMITBOT: Telegram-Bots werden zur Drehscheibe für Krypto-Betrügereien und Android-Malware

Von CyberDeutsch Redaktion
FEMITBOT: Telegram-Bots werden zur Drehscheibe für Krypto-Betrügereien und Android-Malware
Zusammenfassung

Die Telegram-Plattform ist zum Schauplatz einer großangelegten Betrugskampagne geworden, bei der Kriminelle die sogenannten Telegram Mini Apps gezielt missbrauchen, um Nutzer in Kryptowährungs-Scams zu locken, bekannte Marken zu imitieren und Android-Malware zu verbreiten. Sicherheitsforscher haben die als FEMITBOT bezeichnete Infrastruktur enttarnt, die über Telegram-Bots und integrierte Mini Apps täuschend echte Phishing-Seiten direkt im Messenger präsentiert. Die Betrüger geben sich als vertrauenswürdige Unternehmen wie Apple, Disney, NVIDIA oder Coca-Cola aus und verlocken Nutzer mit gefälschten Kontoständen und künstlichen Zeitdruck-Mechanismen zu Geldtransfers oder Referral-Aufgaben. Besonders tückisch ist die Strategie, Android-APKs als legitime Anwendungen zu tarnen und zum Download anzubieten. Für deutsche Nutzer stellt dies ein erhebliches Sicherheitsrisiko dar, da die meisten Telegram-User dieser Plattform vertrauen und die Mini Apps als sicher wahrnehmen. Unternehmen sollten wachsam gegenüber Markenimitation sein, während Behörden eine weitere Welle organisierten Cyberbetrugs im Visier behalten müssen. Experten empfehlen Vorsicht bei verdächtigen Bot-Anfragen und generelle Ablehnung von APK-Downloads außerhalb des Google Play Store.

Die neue Analyseof der Sicherheitsforschern zeigt ein beeindruckendes Ausmaß organisierter Cyberkriminalität. Die FEMITBOT-Plattform funktioniert als Multiplex-Betrugsmaschine, die verschiedene Angriffsszenarien parallel abwickelt. Die Infrastruktur basiert auf einer gemeinsamen Backend-Lösung, bei der mehrere Phishing-Domains dieselbe API-Response nutzen – ein klassisches Merkmal industrialisierter Cyberkriminalität.

Wie funktioniert der Betrug genau? Nutzer werden durch Telegram-Bots angelockt. Mit einem Klick auf „Start” öffnet sich eine Mini App – eine leichte Webanwendung, die in Telegrams eingebautem Browser läuft. Darin erscheint eine gefälschte Handelsplattform oder Wallet, die mit erfundenen Guthaben-Dashboards lockt. Countdown-Timer und “Limited-Time”-Angebote erzeugen künstliche Dringlichkeit. Wer abheben will, muss zuerst Geld einzahlen – eine klassische Advance-Fee-Scam-Taktik.

Besonders problematisch: Die Angreifer nutzen Markenimitation als Glaubwürdigkeitswaffe. Apple, Coca-Cola, IBM, Moon Pay – all diese Namen wurden geklaut, um Vertrauen zu simulieren. Gleichzeitig werden Meta- und TikTok-Tracking-Pixel eingebaut, um Nutzeraktivitäten zu erfassen und Konversionsraten zu optimieren.

Darüber hinaus verteilt FEMITBOT Android-Malware über APK-Dateien. Die bösartigen Apps geben sich als legitime Software aus – BBC, NVIDIA, CineTV, Coreweave. Die Dateinamen sind bewusst gewählt, um Verdacht zu vermeiden. Da die APKs auf derselben Domain gehostet werden wie die API, umgehen sie gemischte Content-Warnungen des Browsers.

Für Android-Nutzer gilt: Sideloading (Installation von APKs außerhalb des Play Store) ist ein Hochrisiko-Verhalten. Für deutsche Nutzer ist die Situation besonders ernst, da viele nicht mit dieser Bedrohungsform vertraut sind. Das BSI sollte öffentliche Warnungen ausgeben.

Für Unternehmen, deren Marken geklaut werden, entstehen Reputationsschäden und potenzielle DSGVO-Verletzungen, wenn Nutzerdaten kompromittiert werden. Telegramnutzer sollten skeptisch bleiben: Bot-Angebote zu Krypto-Investitionen sind extrem verdächtig. Die grundsätzliche Empfehlung lautet: Keine APK-Downloads akzeptieren, keine Einzahlungen tätigen und im Zweifelsfall den Kontakt zu Bot-Betreibern abbrechen.

Ähnliche Artikel