يستغل محتالو العملات المشفرة التطبيقات المصغرة لتطبيق تيليجرام لإنشاء منصات مزيفة.

تستخدم شبكة FEMITBOT، وهي شبكة احتيال كبيرة، ميزة التطبيق المصغر في تطبيق Telegram لتشغيل منصات عملات مشفرة مزيفة، وانتحال شخصيات علامات تجارية معروفة، ونشر برامج ضارة لنظام Android.

وفقًا لشركة CTM360 المتخصصة في الأمن السيبراني، تستخدم عملية الاحتيال روبوتات Telegram والتطبيقات المصغرة المدمجة لإنشاء واجهات تصيد يتم تحميلها مباشرة في متصفح Telegram المدمج.

تبدو صفحات الاحتيال أكثر واقعية من روابط التصيد الاحتيالي العادية التي يتم إرسالها عبر البريد الإلكتروني أو الرسائل النصية القصيرة لأن الضحايا لا يغادرون تطبيق المراسلة أبدًا.

يستخدم برنامج FEMITBOT تطبيق Telegram للعثور على الضحايا

تطبيقات Telegram المصغرة هي تطبيقات ويب صغيرة تعمل داخل WebView الخاص بـ Telegram.

تتيح هذه التطبيقات للمستخدمين إجراء المدفوعات، وتسجيل الدخول إلى حساباتهم، واستخدام الأدوات التفاعلية دون الحاجة إلى تثبيت تطبيق أو متصفح منفصل.

لقد حوّل الأشخاص الذين يقفون وراء FEMITBOT سهولة الاستخدام هذه إلى سلاح.

عندما ينقر الضحية على زر "تشغيل" في أحد الروبوتات المزيفة، يتم فتح تطبيق مصغر يعرض صفحة تصيد تبدو وكأنها لوحة تحكم استثمارية للعملات المشفرة.

تعرض هذه الصفحات مبيعات وأرباحًا وهمية، وغالبًا ما تتضمن مؤقتات تنازلية أو عروضًا لفترة محدودة، مصممة لخداع الناس ودفعهم إلى التصرف بسرعة.

يتم سحب الأموال أثناء عملية السحب.

يُطلب من الأشخاص الذين يحاولون سحب أرباحهم الوهمية إيداع أموال حقيقية أولاً أو إكمال مهام إحالة. هذه طريقة شائعة تُستخدم في عمليات الاحتيال بالدفع المسبق وممارسات ذبح الخنازير.

يقلد برنامج FEMITBOT العلامات التجارية على نطاق واسع

يصف باحثو الأمن بنية FEMITBOT بأنها "وحدات نمطية وقائمة على القوالب".

تتيح الواجهة الخلفية المشتركة للمشغلين تغيير العلامات التجارية واللغات والسمات المرئية للحملات مع الحفاظ على نفس البنية التحتية.

أكد باحثو CTM360 وجود صلة من خلال رصد سلسلة استجابة API مشتركة، "مرحبًا بك في منصة FEMITBOT"، يتم إرسالها من عدة نطاقات تصيد احتيالي.

بعض العلامات التجارية المزيفة جاءت من عالم العملات المشفرة، بما في ذلك Bitget و OKX و Binance و MoonPay.

يشير النطاق الواسع للأشخاص المشاركين في عمليات انتحال الشخصيات إلى أن العملية تهدف إلى الوصول إلى جمهور كبير حول العالم.

وتستخدم الحملات أيضاً أنظمة تتبع مماثلة لتلك المستخدمة في الإعلانات.

وكتب باحثو CTM360: "تدمج البنية التحتية التي تمت ملاحظتها آليات تتبع التحويل من منصات Meta (فيسبوك/إنستغرام) وتيك توك في عملياتها".

تستخدم بعض تطبيقات FEMITBOT المصغرة وحدات تتبع Meta و TikTok لمراقبة نشاط المستخدم، وفهم عدد الأشخاص الذين يتحولون إلى عملاء، وتحسين أداء حملاتهم، باستخدام تقنيات مستمدة مباشرة من التسويق الرقمي في العالم الحقيقي.

يقوم المحتالون بتوزيع البرامج الضارة عبر ملفات APK مزيفة

بعض تطبيقات FEMITBOT المصغرة لا ترتكب عمليات احتيال مالي فحسب، بل تنشر أيضًا برامج ضارة لنظام Android تحاكي التطبيقات الشرعية.

اكتشف باحثو الأمن ملفات APK تنتحل صفة علامات تجارية مثل Netflix و BBC و NVIDIA و CineTV و Coreweave و Claro.

أعلنت الشركة أن ملفات APK مُستضافة على نفس نطاق واجهة برمجة التطبيقات (API) الخاصة بالحملة. وهذا يضمن صحة شهادات TLS ويمنع ظهور تحذيرات أمان المتصفح، والتي قد تُنبه الضحايا.

يُطلب من المستخدمين تثبيت ملفات APK يدويًا، أو فتح الروابط في متصفح التطبيق، أو تثبيت تطبيقات الويب التقدمية التي تبدو كبرامج حقيقية.

يقوم المحتالون بتحويل تطبيقات تيليجرام المصغرة إلى فخاخ لعمليات الاحتيال بالعملات المشفرة.
أمثلة على ملفات APK خبيثة. المصدر: CTM350.

يُعدّ مكون البرامج الضارة في FEMITBOT خطيرًا بشكل خاص على مستخدمي نظام Android.

إحدى أكثر الطرق شيوعاً لتسلل البرامج الضارة إلى الهواتف المحمولة هي تثبيت ملفات APK من مصادر خارج متجر Google Play.

إن استخدام برنامج FEMITBOT لشهادات TLS المتطابقة يجعل من الصعب التمييز بين التنزيلات التي يقوم بها والملفات المشروعة من النظرة الأولى.

إذا قام برنامج بوت على تطبيق تيليجرام بتشجيع المستخدمين على الاستثمار في العملات المشفرة، أو عرض عوائد غير واقعية، أو طلب إيداعًا قبل سحب الأموال، فيجب أن تشك في الأمر.

تُعد المؤقتات التنازلية، واللغة التي تخلق شعوراً بالإلحاح، واشتراط وصفة طبية من الطبيب، كلها علامات على الاحتيال في دفع التكاليف المشتركة.

ألمع العقول في عالم العملات المشفرة تتابع نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم ؟