Telegram Mini Apps遭濫用於假冒服務詐騙

研究人員指出，Telegram Mini Apps是Telegram內的輕量化網頁應用，可支援登入、付款與互動功能。攻擊者利用這種不必離開Telegram的使用體驗，透過機器人（Bot）誘導使用者啟動Mini App，再於Telegram內建WebView載入攻擊者控制的網站，使假冒服務看起來像是在Telegram內正常執行。

CTM360將這套基礎架構命名為FEMITBOT，原因是研究人員在多個相關網域與Telegram Mini Apps中，發現一致的API回應內容「Welcome to join the FEMITBOT platform」。研究人員推測，不同的詐騙活動可能共用同一套後端架構，而非彼此獨立的釣魚網站。

FEMITBOT的運作方式偏向模組化部署，相關基礎架構包含60個以上仍回應有效JSON的活躍網域、146個以上Telegram Bot、15個以上視覺模板、25個以上JavaScript程式碼包、100多組廣告追蹤碼識別碼，並涉及30個以上遭冒用品牌，包括BBC、Netflix、Binance、OKX、Nvidia與Circle等品牌或服務名稱。

FEMITBOT攻擊流程通常從社群廣告、Telegram邀請或被動收入話術開始，當被害者進入Bot後，Mini App會載入假平臺頁面，前端再依後端設定套用不同品牌外觀。頁面會顯示假的即時收益、挖礦速度或限時名額，當受害者嘗試提領這些虛假收益時，再要求以小額首次存款啟用帳號，或完成邀請他人的社交任務。

FEMITBOT相關活動整合Meta與TikTok的廣告追蹤碼，用來記錄頁面瀏覽、註冊、首次存款或再次存款等事件，攻擊者會利用這些資料，衡量不同誘導頁面與流量來源的成效，並調整詐騙流程。

研究人員發現部分網站含有控制顯示App下載功能的旗標，啟用後，網站會提供Android APK檔案，誘導使用者側載安裝，而這些APK的檔名會設計成類似合法應用，或採用不易引起懷疑的隨機名稱，並託管在與API相同的網域，以維持TLS憑證有效，避免瀏覽器出現混合內容警告。