FEMITBOT: Telegram Mini Apps w scamach krypto

TL;DR

¹ FEMITBOT wykorzystuje boty Telegramu i wbudowane Mini Aplikacje do tworzenia doświadczeń podobnych do aplikacji bezpośrednio w aplikacji do wiadomości. ² Platforma prowadzi scamy na fałszywych platformach kryptowalutowych, usługach finansowych, narzędziach AI i serwisach streamingowych. ³ Oszuści podszywają się pod marki takie jak Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA i YouKu. ⁴ Niektóre Mini Aplikacje próbowały dystrybuować złośliwe oprogramowanie w postaci plików APK na Androida. Co zrobić teraz: nie klikaj linków z Telegramu od nieznanych kontaktów, szczególnie obiecujących szybkie zyski; włącz weryfikację dwuetapową na kontach finansowych; na Androida pobieraj aplikacje wyłącznie z Google Play Store.

Jak działa FEMITBOT: anatomia scamu

⁵ Mini Aplikacje Telegramu to lekkie aplikacje internetowe działające w wbudowanej przeglądarce Telegramu, umożliwiające usługi takie jak płatności, dostęp do konta i narzędzia interaktywne bez opuszczania aplikacji. To właśnie ta funkcjonalność czyni je idealnym narzędziem dla oszustów.

⁶ Operacja wykorzystuje boty Telegramu do wyświetlania stron phishingowych bezpośrednio w platformie społecznościowej; gdy użytkownik kliknie „Start”, bot uruchamia Mini Aplikację wyświetlającą stronę phishingową we wbudowanym WebView Telegramu. Dla ofiary wygląda to jak legalna aplikacja — bo technicznie nią jest, tyle że hostowana na serwerach oszustów.

⁷ Ofiary widzą pulpity nawigacyjne z fałszywymi saldami lub „zarobkami”, często z licznikami odliczającymi lub ofertami ograniczonymi czasowo, aby stworzyć poczucie pilności. To klasyczna taktyka inżynierii społecznej — sztuczna presja czasowa obniża czujność i krytyczne myślenie.

⁸ Gdy użytkownicy próbują wycofać środki, są proszeni o dokonanie wpłaty lub ukończenie zadań referralowych. To powszechna taktyka w scamach inwestycyjnych i zaliczkowych. Ofiara wkłada pieniądze, liczy na zwrot — nigdy go nie otrzymuje.

Infrastruktura: skalowalna i modułowa

⁹ Operacja wykorzystuje wspólną infrastrukturę zaplecza — wiele domen phishingowych zwraca tę samą odpowiedź API: „Welcome to join the FEMITBOT platform”. To wskazuje, że wszystkie kampanie działają na tej samej infrastrukturze, umożliwiając oszustom szybkie uruchamianie nowych wariantów bez konieczności budowania wszystkiego od zera.

¹⁰ Infrastruktura jest zaprojektowana do użytku w różnych kampaniach, umożliwiając atakującym łatwe przełączanie brandingu, języków i szaty graficznej. Dziś to fałszywa platforma Binance, jutro — fałszywy Apple Pay. Jeden backend, nieskończone warianty.

¹¹ Kampanie wykorzystują skrypty śledzące, takie jak piksele śledzące Meta i TikTok, do śledzenia aktywności użytkowników i pomiaru konwersji. Oszuści optymalizują swoje kampanie tak jak legalni marketerzy — tyle że kradną pieniądze.

Podszywanie się pod marki: FEMITBOT jako uniwersalna platforma

³ Sprawcy podszywają się pod szeroko rozpoznawane marki, w tym Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA i YouKu. Każda z tych marek ma miliony zaufanych użytkowników — oszuści liczą na to, że rozpoznawalność marki przełoży się na zaufanie.

Dystrybucja malware’u na Androida

⁴ Niektóre Mini Aplikacje próbowały dystrybuować złośliwe oprogramowanie w postaci plików APK na Androida podszywających się pod marki takie jak BBC, NVIDIA, CineTV, Coreweave i Claro. To eskalacja — od scamów finansowych do bezpośredniego zainfekowania urządzenia.

¹² Użytkownicy są proszeni o pobranie plików APK na Androida, otwarcie linków w przeglądarce w aplikacji lub zainstalowanie progresywnych aplikacji internetowych naśladujących legalne oprogramowanie. Każda z tych metod omija kontrole Google Play Store.

¹³ Nazwy plików APK są starannie wybierane, aby przypominały legalne aplikacje lub używały losowo wyglądających nazw, które nie wzbudzają natychmiastowego podejrzenia. Przykład: bbc_news_v2.apk zamiast malware_dropper.apk.

¹⁴ Pliki APK są hostowane w tej samej domenie co API, zapewniając ważność certyfikatu TLS i unikając ostrzeżeń o mieszanej zawartości w przeglądarce. Oszuści myślą o szczegółach — certyfikat SSL/TLS sprawia, że domena wygląda wiarygodnie dla przeglądarki.

Problem: Telegram prawie nie moderuje Mini Aplikacje

¹⁵ Telegram Mini Aplikacje prawie nie przechodzą weryfikacji przed uruchomieniem, co stanowi kontrast z surowymi procesami przeglądu stosowanymi przez Google Play i App Store. To fundamentalna słabość platformy.

¹⁶ Na Telegramie każdy, kto chce stworzyć i uruchomić Mini Aplikację, może to zrobić — Telegram nie przegląda kodu, funkcjonalności ani intencji dewelopera. Brak weryfikacji to brak barier wejścia dla oszustów.

¹⁷ Moderacja Mini Aplikacji na Telegramie jest całkowicie reaktywna — działania podejmowane są dopiero po tym, jak użytkownicy zaczną narzekać lub zaangażują się organy ścigania. To oznacza, że scam może działać tygodniami lub miesiącami, zanim zostanie usunięty.

¹⁸ Telegram usunął konta naruszające warunki świadczenia usług po przejrzeniu zgłoszeń dotyczących kanałów sprzedających narzędzia do obejścia weryfikacji KYC. Ale to dzieje się post-factum — po tym, jak szkoda już została wyrządzona.

Szerszy kontekst: KYC bypass i kradzieże tożsamości

¹⁹ MIT Technology Review zidentyfikował 22 publiczne kanały i grupy Telegramu w języku chińskim, wietnamskim i angielskim reklamujące zestawy do obejścia weryfikacji KYC i skradzione dane biometryczne. Telegram stał się bazarem dla narzędzi ułatwiających oszustwa finansowe.

²⁰ Zestawy oprogramowania do obejścia KYC wykorzystują różne metody do kompromitacji systemów operacyjnych telefonów i aplikacji bankowych, twierdząc, że umożliwiają obejście kontroli zgodności narzuconych przez instytucje finansowe — od głównych giełd kryptowalut takich jak Binance po banki takie jak BBVA. To nie tylko scam — to atak na całą infrastrukturę compliance’u sektora finansowego.

²¹ Chainalysis szacuje, że około 17 miliardów dolarów zostało skradzionych w 2025 roku w scamach i oszustwach kryptowalutowych w porównaniu z 13 miliardami dolarów w 2024 roku. Wzrost rok do roku wynosi 31%. FEMITBOT to jeden z graczy w tym ekosystemie, ale symptomatyczny dla ogólnego trendu.

Co zrobić w 24-48 godzin

Dla użytkowników indywidualnych:

• Nie klikaj linków z Telegramu od nieznanych kontaktów, szczególnie obiecujących szybkie zyski lub dostęp do ekskluzywnych inwestycji.
• Jeśli otrzymasz wiadomość od znajomego z linkiem do Mini Aplikacji — zweryfikuj to bezpośrednio z tą osobą (SMS, rozmowa, inny kanał).
• Na Androida pobieraj aplikacje wyłącznie z Google Play Store. Nigdy nie instaluj plików APK z linków z internetu, nawet jeśli wyglądają na legalne.
• Włącz uwierzytelnianie dwuetapowe (2FA) na wszystkich kontach finansowych, szczególnie na giełdach kryptowalut i w bankach.
• Jeśli już kliknąłeś link FEMITBOT: zmień hasła do wszystkich kont finansowych z innego urządzenia, skontaktuj się z bankiem, rozważ monitoring kredytowy.

Dla firm i administratorów IT:

• Dodaj domeny FEMITBOT do listy blokowanych (jeśli je zidentyfikujesz — patrz sekcja IoC poniżej).
• Edukuj pracowników o phishingu na Telegramie — wiele firm używa Telegramu do komunikacji, co czyni go wektorem ataku.
• Monitoruj logi dostępu do aplikacji bankowych i systemów finansowych pod kątem anomalii (logowania z nowych urządzeń, niezwykłe transfery).
• Jeśli Twoja firma ma własne Mini Aplikacje na Telegramie — przejrzyj kod i uprawnienia. Upewnij się, że nie są one podatne na XSS (Cross-Site Scripting) lub ataki wstrzykiwania kodu.

Wskaźniki kompromitacji (IoC)

Badacze nie opublikowali konkretnych domen ani hashy plików APK w publicznie dostępnych raportach. Jednak możesz szukać następujących sygnałów:

• Sygnatura API: odpowiedzi serwera zawierające ciąg Welcome to join the FEMITBOT platform — to wspólny marker całej infrastruktury operacji ⁹. Jeśli proxy lub firewall loguje treść odpowiedzi HTTP, ten ciąg jest wiarygodnym wskaźnikiem kontaktu z infrastrukturą scamu.
• Pliki APK spoza Google Play: pobieranie plików .apk z domen innych niż play.google.com, szczególnie o nazwach podszywających się pod znane marki (BBC, NVIDIA, CineTV, Coreweave, Claro) ⁴.
• Skrypty śledzące w nieoczekiwanym kontekście: piksele śledzące Meta i TikTok ładowane ze stron uruchamianych z poziomu botów Telegramu ¹¹ — w połączeniu z domeną hostującą jednocześnie API i plik APK ¹⁴.
• Ruch do Mini Aplikacji Telegramu prowadzących na zewnętrzne WebView z pulpitami „inwestycyjnymi”, licznikami odliczającymi i żądaniami wpłaty przed wypłatą środków ⁷⁸.

Jeśli zidentyfikujesz konkretne domeny FEMITBOT w swojej organizacji, dodaj je do listy blokowanych i zgłoś do CERT Polska przez https://incydent.cert.pl.

Źródła

Zobacz też

• NGate: Jak atak NFC Relay opróżnia konta Polaków przez telefon
• NGate: kradzież pieniędzy z kart przez telefon
• Wyciek 30 tys. kont Facebook 2026

Footnotes

1. Platforma FEMITBOT wykorzystuje boty Telegramu i wbudowane Mini Aplikacje do tworzenia przekonujących doświadczeń podobnych do aplikacji bezpośrednio w aplikacji do wiadomości. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

2. Platforma FEMITBOT prowadzi wiele typów scamów, w tym fałszywe platformy kryptowalutowe, usługi finansowe, narzędzia AI i serwisy streamingowe. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

3. W kampaniach podszywania się sprawcy podszywali się pod szeroko rozpoznawane marki, w tym Apple, Coca-Cola, Disney, eBay, IBM, Moon Pay, NVIDIA i YouKu. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩²

4. Niektóre Mini Aplikacje próbowały dystrybuować złośliwe oprogramowanie w postaci plików APK na Androida podszywających się pod marki takie jak BBC, NVIDIA, CineTV, Coreweave i Claro. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩² ↩³

5. Mini Aplikacje Telegramu to lekkie aplikacje internetowe działające w wbudowanej przeglądarce Telegramu, umożliwiające usługi takie jak płatności, dostęp do konta i narzędzia interaktywne bez opuszczania aplikacji. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

6. Operacja wykorzystuje boty Telegramu do wyświetlania stron phishingowych bezpośrednio w platformie społecznej; gdy użytkownik kliknie ‘Start’, bot uruchamia Mini Aplikację wyświetlającą stronę phishingową w wbudowanym WebView Telegramu. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

7. Ofiary widzą pulpity nawigacyjne z fałszywymi saldami lub ‘zarobkami’, często połączone z licznikami odliczającymi lub ofertami ograniczonymi czasowo, aby stworzyć poczucie pilności. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩²

8. Gdy użytkownicy próbują wycofać środki, są proszeni o dokonanie wpłaty lub ukończenie zadań referralowych, co jest powszechną taktyką w scamach inwestycyjnych i zaliczkowych. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩²

9. Operacja wykorzystuje wspólną infrastrukturę backendową, gdzie wiele domen phishingowych używa tej samej odpowiedzi API zawierającej tekst ‘Welcome to join the FEMITBOT platform’. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩²

10. Infrastruktura jest zaprojektowana do użytku w różnych kampaniach, umożliwiając atakującym łatwe przełączanie brandingu, języków i motywów. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

11. Kampanie wykorzystują skrypty śledzące, takie jak piksele śledzące Meta i TikTok, do śledzenia aktywności użytkowników i pomiaru konwersji. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩²

12. Użytkownicy są proszeni o pobranie plików APK na Androida, otwarcie linków w przeglądarce w aplikacji lub zainstalowanie progresywnych aplikacji internetowych naśladujących legalne oprogramowanie. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

13. Nazwy plików APK są starannie wybierane, aby przypominały legalne aplikacje lub używały losowo wyglądających nazw, które nie wzbudzają natychmiastowego podejrzenia. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩

14. Pliki APK są hostowane w tej samej domenie co API, zapewniając ważność certyfikatu TLS i unikając ostrzeżeń o mieszanej zawartości w przeglądarce. — https://www.bleepingcomputer.com/news/security/telegram-mini-apps-abused-for-crypto-scams-android-malware-delivery/ ↩ ↩²

15. Telegram Mini Aplikacje prawie nie przechodzą weryfikacji przed uruchomieniem, co stanowi kontrast z surowymi procesami przeglądu stosowanymi przez Google Play i App Store. — https://www.kaspersky.com/blog/telegram-mini-app-phishing/55041/ ↩

16. Na Telegramie każdy, kto chce stworzyć i uruchomić Mini Aplikację, może to zrobić; Telegram nie przegląda kodu, funkcjonalności ani intencji dewelopera. — https://www.kaspersky.com/blog/telegram-mini-app-phishing/55041/ ↩

17. Moderacja Mini Aplikacji na Telegramie jest całkowicie reaktywna — działania podejmowane są dopiero po tym, jak użytkownicy zaczną narzekać lub zaangażuje się organy ścigania. — https://www.kaspersky.com/blog/telegram-mini-app-phishing/55041/ ↩

18. Telegram usunął konta naruszające warunki świadczenia usług po przejrzeniu zgłoszeń dotyczących kanałów sprzedających narzędzia do obejścia weryfikacji KYC. — https://www.technologyreview.com/2026/04/15/1135898/cyberscammers-bypassing-bank-telegram/ ↩

19. MIT Technology Review zidentyfikował 22 publiczne kanały i grupy Telegramu w języku chińskim, wietnamskim i angielskim reklamujące zestawy do obejścia weryfikacji KYC i skradzione dane biometryczne. — https://www.technologyreview.com/2026/04/15/1135898/cyberscammers-bypassing-bank-telegram/ ↩

20. Zestawy oprogramowania do obejścia KYC wykorzystują różne metody do kompromitacji systemów operacyjnych telefonów i aplikacji bankowych, twierdząc, że umożliwiają obejście kontroli zgodności narzuconych przez instytucje finansowe od głównych giełd kryptowalut takich jak Binance po banki takie jak BBVA. — https://www.technologyreview.com/2026/04/15/1135898/cyberscammers-bypassing-bank-telegram/ ↩

21. Chainalysis szacuje, że około 17 miliardów dolarów zostało skradzionych w 2025 roku w scamach i oszustwach kryptowalutowych, w porównaniu z 13 miliardami dolarów w 2024 roku. — https://www.technologyreview.com/2026/04/15/1135898/cyberscammers-bypassing-bank-telegram/ ↩