文章总结： 一个名为femitbot的大规模欺诈和恶意软件行动利用Telegram小程序传播加密货币诈骗和安卓恶意软件。该网络通过构建冒充Netflix、币安等知名品牌的虚假小程序，在Telegram应用内浏览器中加载钓鱼网站，窃取用户ID、姓名等身份验证数据，并诱导用户进行加密货币存款。同时，该基础设施还通过功能标志分发安卓APK恶意软件。安全团队应监控可疑Telegram机器人、品牌冒充行为及广告技术信号，用户需对通讯应用内的高收益优惠保持警惕。 综合评分： 85 文章分类： 恶意软件,网络安全,应用安全,社会工程学,威胁情报

FEMITBOT 网络利用 Telegram 小程序传播加密货币诈骗和安卓恶意软件

原创

ZM ZM

暗镜

2026年5月8日 06:01 北京

在小说阅读器读本章

去阅读

一个名为 FEMITBOT 的大规模欺诈和恶意软件行动，利用 Telegram 小程序窃取加密货币并感染安卓设备。

该活动表明，受信任的应用内网络体验如何变成强大的社会工程和凭证窃取工具。

Telegram 小程序是运行在 Telegram 内的轻量级 Web 应用程序，可在熟悉的界面中提供无缝的登录、支付和互动功能。

FEMITBOT 运营者利用这种信任，构建逼真的虚假小程序，直接在 Telegram 的应用内浏览器（WebView）中加载钓鱼网站，使内容看起来像是原生且安全的。

当受害者在 Telegram 机器人中点击“启动应用”时，小程序会加载一个钓鱼网站，该网站通过 Telegram 域中的脚本集成了官方的 Telegram WebApp SDK。

这使得攻击者的网站能够与 Telegram 通信，并静默地接收一个名为 initData 的数据块，其中包含用户的 ID、姓名和身份验证哈希值。

CTM360 的分析将 FEMITBOT 与多个冒充流媒体、加密货币、人工智能和金融服务领域知名品牌的欺诈活动联系起来。

观察到的诱饵包括冒充 Netflix、BBC、优酷、币安、Bitget、OKX、NVIDIA 和各种加密货币挖矿池的虚假平台，以建立信誉并提高用户参与度。

该生态系统采用模块化和模板驱动，至少有 15 个小程序“皮肤”，超过 60 个活跃域名，以及超过 140 个Telegram 机器人连接到同一个后端。

所有这些组件都通过通用 API 响应返回一条反复提及 FEMITBOT 平台的消息，证实了看似不相关的诈骗背后存在共享的基础设施。

FEMITBOT 网络利用 Telegram 小程序漏洞

受害者受害流程遵循一套标准的升级模式，旨在最大程度地造成经济损失。受害者首先通过 Meta 广告、Telegram 邀请或其他社交渠道被诱骗，这些渠道承诺提供被动收入、免费流媒体、云挖矿或人工智能计算服务。

打开机器人并启动小程序后，网站会提取 initData 并将其提交给 API 端点，该端点会发出 JWT cookie，从而在无需密码的情况下静默地验证用户身份长达十天。

然后，仪表盘会显示虚假的实时收益、倒计时器和有限的“VIP 位置”，以制造紧迫感，促使用户进行初始“激活”存款。

FEMITBOT 通过 Meta（Facebook/Instagram）和 TikTok 像素集成高级跟踪功能，以监控用户活动并优化转化漏斗。

PageView、Purchase 和 repurchase 事件会在注册和充值等关键操作时触发，使威胁行为者能够详细了解哪些活动和诱饵能产生最高的收益。

分析人员观察到诈骗页面对 Meta 的像素端点发出调用，证实了该犯罪生态系统中使用了主流广告技术基础设施。

这种以分析为驱动的改进水平，体现了一种成熟的运营模式，它将欺诈视为效果营销渠道，而不是一次性的骗局。

除了欺诈之外，FEMITBOT 的基础设施还会通过小程序配置中的受控功能标志分发 Android 恶意软件。

当 appdownloadshowswitch 标志启用时，系统会提示受害者安装托管在 API 使用的相同域上的 Android APK，以维护 TLS 有效性并避免浏览器警告。

该配置支持多种交付方式：直接 APK 下载、应用内浏览器流程以及 Progressive Web App 提示，无需完整安装即可将恶意快捷方式添加到主屏幕。

APK 文件名经过精心设计，使其看起来合法或随机，从而增加用户信任并将其安装到设备上的可能性。

FEMITBOT 演示了如何将合法的超级应用程序功能（如小程序和 WebView）重新用于可扩展的欺诈、凭证滥用和移动恶意软件分发。

安全团队应监控与相似域名关联的可疑 Telegram 机器人、意外的 WebApp SDK 使用情况以及涉及加密货币、流媒体和人工智能服务的品牌冒充行为。

研究人员还强调，需要更仔细地审查与网络钓鱼基础设施相关的广告技术信号和像素活动，因为这些指标可以及早发现大规模欺诈行为。

对于最终用户而言，核心防御措施仍然很简单：对即时通讯应用内的任何投资、挖矿或高收益优惠都极其谨慎，并避免从不受信任的提示中侧载 APK 或添加“应用”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《FEMITBOT 网络利用 Telegram 小程序传播加密货币诈骗和安卓恶意软件》