Uma nova e altamente organizada rede de fraude chamada FEMITBOT emergiu, explorando o recurso Mini App do Telegram para executar golpes de criptomoeda em larga escala e empurrar software malicioso Android para usuários em todo o mundo. A campanha, que veio à tona em abril de 2026, opera através de aplicativos falsos projetados para parecerem verdadeiras exchanges de criptomoedas, serviços de streaming, plataformas financeiras e ferramentas de IA. As vítimas são atraídas através de publicidade em redes sociais e convites não solicitados do Telegram que prometem renda passiva fácil.
Como a FEMITBOT explora os Mini Apps do Telegram
O que torna a FEMITBOT particularmente perigosa é como ela se mistura perfeitamente no ambiente confiável do Telegram. Como os aplicativos falsos carregam dentro da própria janela de navegador do Telegram, os usuários têm poucas razões para suspeitar de algo errado. O kit suporta mais de 22 idiomas e usa a rede da Cloudflare para ocultar sua verdadeira origem, tornando-o uma operação genuinamente global.
O kit FEMITBOT é construído em torno do abuso de Mini Apps do Telegram, aplicativos web leves que rodam dentro do Telegram e podem lidar com logins, pagamentos e recursos interativos. Esses aplicativos são convenientes por design, mas essa mesma conveniência os torna fáceis de ser armados para fraude em escala.
Quando uma vítima abre um desses bots, o aplicativo coleta silenciosamente seu ID de usuário do Telegram, nome de exibição e dados de autenticação através de um recurso chamado initData. Isso é enviado ao servidor do atacante, que faz o login da vítima automaticamente sem senha. O servidor carrega então o tema da marca correta, seja parecendo Binance, Netflix ou uma plataforma de mineração de IA, com base em uma configuração de skin.
Táticas de distribuição de malware Android
Além da fraude financeira, a FEMITBOT também funciona como um sistema de entrega para malware Android. Certos sites na rede incluem um recurso de flag oculto que, quando ativado, serve arquivos APK maliciosos diretamente aos visitantes. Esses arquivos são nomeados para se assemelhar a aplicativos reais, tornando-os difíceis de identificar como ameaças à primeira vista.
A entrega vem em três formas: um download de arquivo direto acionado por um botão, uma experiência de navegador no aplicativo que parece mais confiável, ou um prompt de Aplicativo Web Progressivo pedindo aos usuários para adicionar a página à sua tela inicial. Cada método reduz o atrito para que o software malicioso alcance o dispositivo da maneira mais suave possível.
Infraestrutura e escala da campanha
A escala da rede é impressionante. Os pesquisadores encontraram mais de 146 bots do Telegram ativos, mais de 30 marcas impostas e mais de 100 IDs de pixel de rastreamento vinculados aos sistemas de publicidade da Meta e TikTok. Analistas da CTM360 identificaram a infraestrutura maliciosa e a rastrearam de volta a uma plataforma de backend compartilhada. Em dezenas de domínios aparentemente não relacionados, todos os sites retornaram a mesma resposta de API: "Bem-vindo para se juntar à plataforma FEMITBOT".
Essa impressão digital consistente em mais de 60 domínios ativos confirmou que todas as campanhas estavam rodando em um kit unificado, apontando para uma operação de nível profissional com um motivo comercial claro.
Indicadores de Comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser bloqueados:
- Domínio:
zerocap[.]vip(Domínio de phishing FEMITBOT) - Domínio:
spiderpool[.]app(Domínio de phishing FEMITBOT) - Domínio:
btcaimining[.]xyz(Domínio de phishing FEMITBOT) - Bot Telegram:
@Zerocap01_bot - Bot Telegram:
@SpiderPool01_bot - URL:
/api/public/init(Endpoint de API não autenticado) - URL:
/api/public/telegramLogin(Endpoint de autenticação FEMITBOT)
O que os CISOs devem fazer imediatamente
Os usuários devem evitar instalar qualquer aplicativo que chegue através de um link do Telegram, especialmente se solicitar um depósito ou prometer retornos garantidos. Os aplicativos devem vir apenas de lojas oficiais, e qualquer coisa que solicite permissões incomuns deve ser removida imediatamente. As equipes de segurança são aconselhadas a bloquear os domínios vinculados à FEMITBOT conhecidos e monitorar o tráfego de saída para conexões com esta infraestrutura.