Una sofisticata infrastruttura fraudolenta denominata FEMITBOT sta abusando in modo massiccio dell’ecosistema delle Telegram Mini Apps per orchestrare campagne di truffa su scala globale. Come rivelato dal report di CTM360, l’architettura criminale è strutturata per essere altamente modulare: attraverso i bot di Telegram, le vittime vengono dirette all’interno di web app in-browser progettate per somigliare a piattaforme native.
Per guadagnare fiducia e spingere le vittime in un loop di finti investimenti e gamification, i criminali impersonano brand e settori di grande richiamo: si va dalle crypto e AI (Binance, NVIDIA, OKX) ai servizi di streaming (Netflix, BBC). L’operazione è tecnologicamente avanzata: per il login viene sfruttato in maniera silente il parametro initData del WebApp SDK di Telegram (bypassando la necessità di password), mentre i pixel di Meta e TikTok sono integrati nel codice per tracciare il comportamento degli utenti, misurare l’engagement e ottimizzare le conversioni (primo deposito e depositi successivi) come in una vera e propria campagna di marketing digitale. In alcuni casi, il kit attiva anche lo scaricamento di file APK Android per installare malware direttamente sui dispositivi delle vittime.
Cosa leggere
FEMITBOT collega bot Telegram e domini phishing in un’unica infrastruttura
Il kit FEMITBOT integra direttamente bot Telegram e domini phishing. Il bot rappresenta il punto di ingresso per l’utente, mentre il sito collegato gestisce autenticazione, contenuti e transazioni. Questa separazione tra front-end e backend consente agli attaccanti di riutilizzare la stessa logica operativa su campagne diverse. CTM360 ha identificato oltre 60 domini attivi, più di 146 bot Telegram tra canali e gruppi, e almeno 15 template grafici. A questi si aggiungono oltre 25 bundle JavaScript per la personalizzazione delle interfacce. La struttura è progettata per essere rapidamente replicabile, permettendo agli operatori di lanciare nuove campagne cambiando solo branding e contenuti.
Le campagne impersonano brand globali per aumentare la fiducia
Le operazioni FEMITBOT sfruttano l’impersonificazione di marchi noti per guadagnare credibilità immediata. Tra i brand utilizzati figurano BBC, Netflix, Binance, NVIDIA e piattaforme di streaming asiatiche. Nel settore crypto compaiono nomi come exchange e servizi di pagamento, mentre nelle campagne AI vengono simulati servizi di calcolo o modelli avanzati.
Le interfacce riproducono dashboard professionali con guadagni simulati, statistiche in tempo reale e progressi gamificati. Questo approccio psicologico riduce la percezione del rischio e aumenta la probabilità che l’utente completi le azioni richieste. L’illusione di legittimità diventa uno degli elementi più efficaci della truffa.
Il flusso della vittima segue una sequenza standardizzata di sette fasi
Le campagne seguono un percorso ben definito che massimizza la conversione. Gli utenti vengono attratti tramite annunci o inviti Telegram con promesse di reddito passivo. Una volta avviato il bot, il pulsante Launch App apre la Mini App integrata. Qui avviene l’estrazione della stringa initData, contenente dati utente e token di autenticazione.
Il sistema autentica automaticamente la vittima senza password e mostra una dashboard con guadagni fittizi. L’interfaccia utilizza timer, slot limitati e notifiche per creare urgenza. La fase finale richiede un deposito iniziale o l’invito di nuovi utenti per sbloccare i prelievi, che in realtà non avverranno mai. Questo modello costruisce fiducia progressiva e monetizza ogni interazione.
Architettura modulare basata su Vue.js API dedicate e multi lingua
L’infrastruttura tecnica di FEMITBOT utilizza una single-page application in Vue.js con integrazione del Telegram WebApp SDK. Il sistema gestisce endpoint pubblici per configurazione e login automatico, restituendo token JWT sotto forma di cookie. Ogni campagna utilizza domini API separati e skin personalizzate per differenziare l’aspetto visivo. Il kit supporta oltre 22 lingue e più di 20 palette grafiche, adattandosi rapidamente a diversi mercati geografici. La presenza di sistemi di referral multilivello fino a sei livelli indica una struttura simile a schemi MLM, che amplifica la diffusione tramite inviti tra utenti. La scalabilità deriva dalla possibilità di riutilizzare componenti senza riscrivere l’intera piattaforma.
Telegram WebView e initData rendono l’esperienza credibile e senza login
Le Telegram Mini Apps vengono caricate tramite WebView direttamente nell’app. Questo fa apparire il sito fraudolento come parte integrante di Telegram, aumentando la fiducia dell’utente. Il sistema utilizza il Telegram WebApp SDK per ottenere automaticamente i dati utente tramite initData, evitando la necessità di inserire credenziali. Il backend verifica la firma dei dati utilizzando il token del bot, rendendo il flusso tecnicamente legittimo dal punto di vista dell’infrastruttura Telegram. Questo elimina uno dei principali segnali di allarme per gli utenti, cioè la richiesta di login manuale. L’autenticazione invisibile diventa quindi un elemento chiave dell’efficacia del kit.
Tracking avanzato con pixel Meta e TikTok per ottimizzare le conversioni
Il framework integra sistemi di tracciamento avanzati basati su pixel di Meta e TikTok. Ogni interazione viene monitorata in tempo reale: registrazione, primo deposito e attività successive. Gli attaccanti analizzano questi dati per ottimizzare le campagne e migliorare il tasso di conversione. Le richieste verso endpoint di tracking dimostrano un uso sistematico di tecniche di marketing digitale. Questa integrazione consente agli operatori di testare varianti, identificare i segmenti più redditizi e adattare rapidamente i contenuti. La frode assume quindi caratteristiche simili a campagne pubblicitarie professionali.
FEMITBOT distribuisce malware Android tramite APK e PWA
Alcune campagne attivano funzionalità per distribuire APK Android malevoli. I file vengono presentati come app legittime e ospitati sugli stessi domini per evitare avvisi di sicurezza. Gli utenti possono scaricare direttamente l’app o installarla tramite prompt PWA, simulando un’esperienza nativa.
Questa funzione amplia il raggio d’azione del kit, passando dalla frode finanziaria alla compromissione dei dispositivi. Una volta installato, il malware può raccogliere dati, monitorare attività o eseguire ulteriori attacchi. L’integrazione tra phishing e distribuzione malware aumenta significativamente il rischio complessivo.
CTM360 evidenzia una minaccia scalabile persistente e difficile da bloccare
Secondo CTM360, FEMITBOT rappresenta un modello evoluto di cybercrime basato su modularità, riuso e adattabilità. La combinazione di Mini Apps, autenticazione automatica, tracking e distribuzione malware crea un ecosistema completo per operazioni fraudolente su larga scala. La capacità di cambiare rapidamente brand, lingua e settore rende difficile bloccare le campagne in modo definitivo. Gli attaccanti possono seguire trend emergenti e sfruttare nuovi marchi per mantenere alta l’efficacia. La minaccia è persistente e si evolve insieme alle piattaforme digitali.
Utenti e aziende devono diffidare di guadagni facili e inviti Telegram
Gli utenti devono prestare attenzione a inviti Telegram che promettono guadagni rapidi o opportunità di investimento. Le Telegram Mini Apps possono apparire legittime ma nascondere infrastrutture fraudolente. Anche aziende e piattaforme devono monitorare l’uso improprio dei propri brand per ridurre l’impatto reputazionale. Il caso FEMITBOT dimostra come strumenti progettati per migliorare l’esperienza utente possano essere sfruttati per attività malevole. La consapevolezza resta il primo livello di difesa, insieme a controlli tecnici più stringenti sulle integrazioni e sul traffico generato da bot e applicazioni web.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
