文章总结： CTM360情报团队于2026年4月揭露了名为FemitBot的全球性诈骗网络，该网络通过Telegram小程序伪装成加密货币、流媒体等30多个知名品牌，利用15种皮肤变体和22种语言实施欺诈。其集成Meta与TikTok追踪像素分析转化漏斗，通过虚假收益展示、激活费陷阱及多层营销机制诱导受害者，并传播恶意软件。研究通过硬编码的开发者指纹关联了60多个域名和146个机器人，揭示了网络犯罪向完整欺诈经济体系的演变。 综合评分： 88 文章分类： 威胁情报,恶意软件,社会工程学,web安全,移动安全

Telegram里的“FEMITBOT”诈骗网络

原创

破天KK 破天KK

KK安全说

2026年5月24日 21:05 北京

在小说阅读器读本章

去阅读

口袋里的数字陷阱

想象一下，你正在浏览 Instagram 或 TikTok 的“为你推荐”页面，突然看到一个精美的广告，宣传“被动收入”漏洞或“VIP 挖矿机器人”。它设计精良，使用了你信任的品牌标志，而且——最重要的是——它就藏在 Telegram 里。只需轻轻点击“启动应用”按钮，你就不再只是一个聊天应用；你已经踏入了一个精心构建的数字陷阱，进入了一个骗局的生态系统。

这并非一堆业余钓鱼链接。这是FEMITBOT，一个庞大的全球性欺诈基础设施，由 CTM360 情报团队于 2026 年 4 月揭露。通过将 Telegram 小程序（一种在 Telegram 即时通讯软件中原生运行的轻量级 Web 应用程序）武器化，威胁行为者实现了功能丰富的欺骗手段，使得传统的诈骗手段相形见绌。

变色龙协议：15层伪装，一颗恶心

FEMITBOT 的精妙之处在于其模块化和工业级的高效性。攻击者无需搭建单个诈骗网站，而是部署一套复杂的“工具包”，其功能类似于暗网版的 Shopify。后端保持不变，而前端可以瞬间切换，模仿任何当前热门品牌。

CTM360 的分析揭示了其惊人的运营成熟度。FEMITBOT 套件的单次部署即可通过以下方式进行定制：

• 15 种独特的“皮肤”变体，可模仿不同的行业。
• 22 种以上的图案子变体和21 种以上的主题调色板，可实现精细的美学控制。
• 支持 22 种以上语言，只需轻轻一按，骗局就能走向全球。

这些“变色龙”平台通常伪装成：

• 加密货币巨头：币安、Bitget、OKX 或 MoonPay 的虚假界面。
• 流媒体和媒体： Netflix、BBC、优酷或ABEMA的精美克隆版。
• 金融服务：冒充 StraitsX、Circle 或 Trade Exchange。
• 人工智能与计算：利用 NVIDIA、CoreWeave 或 MetaPivot 的热潮，高收益的“挖矿”活动吸引了大量投资者。

诈骗分子正在利用你的营销工具来对付你。

FEMITBOT 的运作方式如同硅谷初创公司般冷酷精准。CTM360 发现，这些套件集成了专业级的数字营销分析工具，特别是 Meta（Facebook/Instagram）和 TikTok 的追踪像素。

攻击者并非盲目撒网，而是利用这些像素实时监控其“转化漏斗”。他们追踪受害者的注册时间和充值时间，并将这些操作映射到营销控制面板中的“购买”或“复购”事件。这些数据使他们能够停止投放效果不佳的广告，并加大力度推广那些成功吸引用户钱包的诱饵。

“威胁行为者利用数字营销分析来监控用户行为、评估营销活动效果并优化转化漏斗，从而能够动态地改进诱饵。”

“无密码”握手

FEMITBOT 最令人意想不到的地方在于它无需传统的登录方式。由于该应用运行在 Telegram WebApp SDK 中，因此它会在后台进行无声的“握手”。

当 Vue.js 客户端调用一个特定的公共端点时，该过程开始/api/public/init。这是唯一一个未经身份验证的入口点，它会将完整的配置信息（包括皮肤、功能标志和跟踪 ID）返回给客户端。然后，应用程序会提取initData包含用户 ID 和姓名的字符串。

为了营造“官方”环境，服务器会使用HMAC-SHA256签名来验证这些数据。可以将这个哈希值想象成一个数字蜡封；由于只有攻击者的机器人（使用其唯一的令牌）才能验证这个印章，因此它制造了一种“已验证的 Telegram 集成”的技术假象。验证成功后，服务器会颁发一个名为“Gq cookie”的会话令牌，它是一个有效期为 10 天的JWT ，可以将受害者锁定在欺诈环境中超过一周，而无需输入任何密码。

心理激活陷阱

一旦受害者进入应用，FEMITBOT 便会从技术欺骗转向心理战。仪表盘上会显示“实时收益”，每秒都在增长，营造出一种财富感带来的多巴胺循环。为了增加刺激感，该应用还会使用“挖矿速度”倒计时和“VIP名额有限”的提醒，大肆利用用户的错失恐惧症（FOMO）。

陷阱设在“资格认证”阶段。当用户试图提取虚假收益时，他们会被要求“激活”账户：存入一小笔初始资金来“验证”账户。这是典型的沉没成本谬误。受害者花了几天时间看着自己的“余额”增长，觉得支付50美元的“激活费”来解锁5000美元的虚假利润是理所当然的。

将受害者转变为招募者（以及恶意软件的转型）

FEMITBOT 的设计旨在实现指数级增长。该套件内置多层次营销 (MLM) 推荐金字塔，最多支持六级招募。为了“提升”收入潜力，受害者会被诱导邀请自己的联系人，从而有效地将每个受害者变成诈骗者不知情的社交工程代理人。

对于那些能够被引诱到 Telegram 环境之外的用户来说，该工具包还有一个更阴暗的次要目标：传播恶意软件。通过一个app_download_show_switch功能标志，该平台可以通过三种不同的方式传播恶意 Android APK：

1. 直接下载：通过按钮提示的标准文件下载。
2. 应用内浏览器：在应用内打开下载页面，以绕过外部浏览器的安全警告。
3. PWA 提示：使用“渐进式 Web 应用”弹出窗口诱骗用户“添加到主屏幕”，从而将恶意网站安装为持久应用图标。

开发者的指纹

即使最复杂的架构也会有“破绽”。CTM360 的研究人员在调查了 60 多个域名和 146 个不同的 Telegram 机器人后，发现了一个关键的疏忽——硬编码的开发者指纹。无论“皮肤”或被冒充的品牌如何，后端 API 始终返回相同的字符串：

"content": "<p>Welcome to join the FEMITBOT platform</p>"

这种反复出现的API响应是关键证据，使研究人员能够将看似分散的全球网络追溯到同一个恶意引擎。此次攻击活动是此前记录在案的TRAP10小程序诈骗的演变，证明这些攻击者不断改进其代码库以逃避检测。

结论：便利的代价

FEMITBOT 网络的规模是一个令人警醒的现实：在一个协调的基础设施中，有 60 多个域名、146 多个机器人和 30 多个全球品牌被冒充。

随着 Telegram 等平台向集支付、应用和媒体于一体的“一体化”操作系统转型，“功能”与“漏洞”之间的界限正变得异常模糊。FEMITBOT 攻击活动表明，网络犯罪分子不再仅仅发送钓鱼链接；他们正在构建完整的欺诈经济体系，利用我们对日常通讯工具的信任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：KK安全说 破天KK 破天KK《Telegram里的“FEMITBOT”诈骗网络》