Peneliti keamanan siber telah mengungkap operasi penipuan skala besar yang memanfaatkan fitur Mini App di Telegram untuk menjalankan penipuan mata uang kripto (crypto scams), meniru merek-merek ternama, dan mendistribusikan malware (perangkat lunak berbahaya) Android.
Menurut laporan terbaru dari firma keamanan CTM360, platform kejahatan yang dijuluki FEMITBOT ini menggunakan bot Telegram dan Mini App yang disematkan untuk menciptakan pengalaman layaknya aplikasi sungguhan secara langsung di dalam platform perpesanan tersebut. Sebagai informasi, Mini App Telegram adalah aplikasi web ringan yang berjalan di dalam peramban bawaan Telegram, memungkinkan berbagai layanan seperti sistem pembayaran hingga alat interaktif tanpa mengharuskan pengguna keluar dari aplikasi.
Modus Operandi FEMITBOT
Laporan CTM360 menyebutkan bahwa infrastruktur terpusat FEMITBOT digunakan untuk melakukan berbagai jenis penipuan, termasuk platform mata uang kripto palsu, layanan keuangan bodong, alat AI, hingga situs streaming.
Untuk meningkatkan kredibilitas dan memikat korban, aktor ancaman dengan berani meniru merek-merek raksasa global yang diakui secara luas. Beberapa merek yang dipalsukan identitasnya dalam kampanye ini antara lain Apple, Coca-Cola, Disney, eBay, IBM, NVIDIA, dan Moon Pay.
Operasi penipuan ini bekerja dengan memanfaatkan bot Telegram untuk menampilkan situs phishing. Ketika pengguna berinteraksi dengan bot penipu dan mengklik “Start”, bot akan meluncurkan Mini App yang memuat halaman phishing di dalam WebView bawaan Telegram, sehingga membuatnya tampak seolah-olah merupakan bagian resmi dan aman dari aplikasi.
Di dalamnya, korban akan disajikan dasbor meyakinkan yang menampilkan saldo atau “penghasilan” palsu, yang sering kali dipasangkan dengan penghitung waktu mundur untuk menciptakan ilusi urgensi. Namun, saat korban mencoba menarik dana fiktif tersebut, mereka justru akan diminta untuk melakukan deposit uang sungguhan terlebih dahulu atau menyelesaikan tugas referal berantai—sebuah taktik klasik dalam penipuan biaya di muka (advance-fee scams).
Para peretas bahkan menyisipkan skrip pelacakan (seperti piksel pelacakan Meta dan TikTok) di dalam Mini App mereka untuk melacak aktivitas pengguna, mengukur tingkat konversi penipuan, dan mengoptimalkan performa kampanye mereka.
Penyebaran Malware Android via APK
Selain penipuan finansial murni, beberapa Mini App nakal ini juga mencoba mendistribusikan malware dalam bentuk file APK Android. File instalasi ini menyamar sebagai aplikasi sah dari merek seperti BBC, NVIDIA, CineTV, Coreweave, dan Claro.
Pengguna dijebak untuk mengunduh file APK, membuka tautan berbahaya di peramban dalam aplikasi, atau menginstal aplikasi web progresif yang meniru perangkat lunak aslinya.
“Nama file APK dipilih dengan cermat agar menyerupai aplikasi yang sah atau menggunakan nama yang tampak acak namun tidak langsung memicu kecurigaan,” jelas pihak CTM360. Menariknya, file APK berbahaya tersebut di-hosting di domain yang sama dengan antarmuka API mereka guna memastikan validitas sertifikat TLS dan menghindari peringatan konten campuran yang mencurigakan di peramban korban.
Pengguna diimbau untuk sangat berhati-hati saat berinteraksi dengan bot Telegram yang tiba-tiba mempromosikan investasi kripto instan atau yang meminta peluncuran Mini App, terutama jika aplikasi tersebut meminta deposit dana. Sebagai aturan keamanan umum, pengguna Android harus menghindari praktik sideloading (menginstal file APK dari luar Google Play Store) yang sering menjadi jalur utama penyebaran infeksi malware.