شبكة احتيال ضخمة تُعرف باسم FEMITBOT تستخدم ميزة التطبيقات المصغرة في تطبيق تيليجرام لإنشاء منصات عملات رقمية مزيفة، وانتحال شخصية علامات تجارية معروفة، ونشر برمجيات خبيثة لأجهزة أندرويد.
وفقًا لشركة الأمن السيبراني CTM360، تعمل عملية الاحتيال هذه باستخدام بوتات تيليجرام وتطبيقات مصغرة مدمجة لإنشاء واجهات تصيد تحمَّل مباشرة في المتصفح المدمج لتطبيق تيليجرام.
تبدو صفحات الاحتيال أكثر واقعية من روابط التصيد العادية التي ترسل عبر البريد الإلكتروني أو الرسائل النصية، لأن الضحايا لا يغادرون تطبيق المراسلة أبدًا.
كيف تستخدم FEMITBOT تيليجرام للبحث عن الضحايا؟
التطبيقات المصغرة في تيليجرام هي تطبيقات ويب صغيرة تعمل داخل متصفح تيليجرام المدمج. تتيح للمستخدمين إجراء المدفوعات، والوصول إلى الحسابات، واستخدام أدوات تفاعلية دون الحاجة إلى تثبيت تطبيق منفصل أو متصفح.
قام القائمون على FEMITBOT بتحويل سهولة الاستخدام هذه إلى سلاح. عندما ينقر الضحية على “ابدأ” في أحد البوتات المزيفة، يفتح تطبيق مصغر يعرض صفحة تصيد تبدو وكأنها لوحة تحكم لاستثمار العملات الرقمية. تُظهر الصفحات أرصدة وأرباحًا وهمية، وغالبًا ما تحتوي على عدادات تنازلية أو عروض محدودة الوقت تهدف إلى جعل الناس يشعرون بالحاجة إلى التصرف بسرعة.
يتم سحب الأموال الحقيقية أثناء عملية السحب. الأشخاص الذين يحاولون صرف أرباحهم المزيفة يُطلب منهم أولاً إيداع أموال حقيقية أو إكمال مهام إحالة. هذه طريقة شائعة في عمليات الاحتيال المعروفة باسم “الدفع المسبق” أو “ذبح الخنازير”.
انتحال شخصيات العلامات التجارية على نطاق واسع
يصف باحثو الأمن بنية FEMITBOT بأنها “معيارية وتعتمد على قوالب جاهزة”. يسمح النظام الخلفي المشترك للمشغلين بتغيير العلامات التجارية واللغات والثيمات البصرية للحملات مع الاحتفاظ بالبنية التحتية نفسها.
أكد باحثو CTM360 هذا الارتباط بإيجاد سلسلة استجابة API مشتركة، وهي “مرحبًا بكم في الانضمام إلى منصة FEMITBOT”، والتي أرسلتها عدة نطاقات تصيد. بعض العلامات التجارية المزيفة كانت من عالم العملات الرقمية، بما في ذلك Bitget وOKX وBinance وMoonPay. يشير التنوع الكبير في انتحال الشخصيات إلى أن العملية تهدف إلى الوصول إلى عدد كبير من الأشخاص حول العالم.
تستخدم الحملات أيضًا تتبعًا مشابهًا للإعلانات. بعض تطبيقات FEMITBOT المصغرة تستخدم بكسلات تتبع من Meta وTikTok لمراقبة ما يفعله المستخدمون، ومعرفة عدد التحويلات، وتحسين أداء حملاتهم، وذلك باستخدام تقنيات من التسويق الرقمي الحقيقي.
توزيع البرمجيات الخبيثة عبر ملفات APK مزيفة
بعض تطبيقات FEMITBOT المصغرة لا تقتصر على الاحتيال المالي فقط، بل تنشر أيضًا برمجيات خبيثة لأندرويد تبدو وكأنها تطبيقات حقيقية. وجد باحثو الأمن ملفات APK تدّعي أنها من علامات تجارية مثل Netflix وBBC وNVIDIA وCineTV وCoreweave وClaro.
قالت الشركة إن ملفات APK تُستضاف على نفس نطاق API الخاص بالحملة. هذا يضمن صلاحية شهادات TLS ويمنع ظهور تحذيرات أمنية من المتصفح قد تنبه الضحايا. يُطلب من المستخدمين تثبيت ملفات APK من خارج المتجر (sideload)، أو فتح روابط في متصفح التطبيق، أو تثبيت تطبيقات ويب تقدمية تشبه البرامج الحقيقية.
مكون البرمجيات الخبيثة في FEMITBOT هو الأكثر خطورة على مستخدمي أندرويد. إحدى الطرق الأكثر شيوعًا لدخول البرمجيات الخبيثة إلى الهاتف هي تثبيت ملفات APK من خارج متجر Google Play. استخدام FEMITBOT لشهادات TLS المطابقة يجعل تنزيلاتها تبدو حقيقية للوهلة الأولى.
أسئلة وأجوبة شائعة
- س: كيف أحمي نفسي من شبكة احتيال مثل FEMITBOT؟
ج: لا تثق أبدًا في بوتات تيليجرام التي تعدك بأرباح غير واقعية أو مطالبة بإيداع أموال قبل السحب. تجنب تثبيت ملفات APK من خارج المتجر الرسمي، وكن حذرًا من العدادات التنازلية والعروض محدودة الوقت التي تخلق ضغطًا للتصرف بسرعة. - س: هل يمكن أن تصاب أجهزة آيفون ببرمجيات FEMITBOT الخبيثة؟
ج: الهجوم الحالي يستهدف بشكل أساسي أجهزة أندرويد عبر تثبيت ملفات APK خارج المتجر. مستخدمو آيفون أكثر أمانًا بشكل عام من هذا النوع المحدد من الهجمات، لكن يجب عليهم أيضًا الحذر من روابط التصيد. - س: كيف أعرف أن تطبيق تيليجرام المصغر هو موقع تصيد وليس منصة حقيقية؟
ج: انتبه لعلامات التحذير مثل: طلب إيداع أموال حقيقية للحصول على أرباح وهمية، وجود عدادات تنازلية وعبارات ضاغطة، وعدم وجود معلومات اتصال واضحة أو فريق دعم حقيقي. تحقق دائمًا من عنوان النطاق (URL) للتأكد من أنه صحيح.
