A infraestrutura conhecida como FEMITBOT utiliza os Mini Apps do Telegram para orquestrar fraudes financeiras, coletar dados sem a necessidade de senha e distribuir malware em dispositivos Android.
Uma operação de fraude em grande escala está se aproveitando dos Mini Apps do Telegram para aplicar golpes financeiros, criando perfis falsos de marcas conhecidas e espalhando malware para dispositivos com Android. Denominada FEMITBOT pela empresa de segurança cibernética CTM360, essa infraçãocomeçou a ser rastreada em abril de 2026, contando já com mais de 60 domínios operantes e 146 bots no Telegram.
Esses Mini Apps são aplicativos leves que funcionam dentro do Telegram, permitindo que os usuários realizem pagamentos, logins e interações sem sair da plataforma. Embora essa facilidade seja vantajosa, também proporciona oportunidades para abusos.
No caso do FEMITBOT, os cibercriminosos exploram essa funcionalidade. Quando uma vítima interage com um bot e pressiona “Iniciar”, o Telegram abre automaticamente uma página falsa dentro do próprio aplicativo. A página oferece uma aparência legítima, aumentando a sensação de segurança da vítima.
Como o golpe funciona na prática
A operação começa antes mesmo do Telegram. As vítimas são atraídas por anúncios no Facebook e Instagram, prometendo “renda passiva”, ou por contatos não solicitados enviados diretamente pelo aplicativo.
Guia de Motéis sofre vazamento de dados e expõe usuários; empresa confirma ataque
Isso acontece porque a infraestrutura do FEMITBOT incorpora pixels de rastreamento do Meta e do TikTok, que foram originalmente projetados para medir o desempenho de campanhas publicitárias, mas são agora usados para monitorar o comportamento dos usuários e aprimorar os golpes em tempo real.
Ao clicar no bot, a vítima é levada a um ambiente falso que imita plataformas de criptomoeda, serviços financeiros, ferramentas de inteligência artificial ou serviços de streaming. Marcas como BBC, Netflix, Binance, NVIDIA e MoonPay estão entre as mais de 30 empresas cuja identidade visual foi reproduzida pelos golpistas.
A coleta de dados acontece sem senha
Um ponto importante a se notar é que, quando o Mini App é ativado, o sistema extrai silenciosamente um conjunto de dados chamado initData, que inclui o ID do usuário, o nome e um código de autenticação gerado pelo Telegram. Essa informação é enviada para os servidores dos criminosos, que criam uma sessão autenticada para a vítima sem que ela precise inserir qualquer senha.
Isso significa que, sob a ótica do sistema, o login parece legítimo. A vítima nem percebe que suas credenciais foram capturadas.
Guia de Motéis sofre vazamento de dados e expõe usuários; empresa confirma ataque
Saldos falsos e armadilhas de depósitos
Uma vez acessado, o painel exibe ganhos fictícios em tempo real, com contadores regressivos e alertas de “vagas VIP limitadas”. O objetivo é criar uma sensação de urgência e convencer a vítima a acreditar que está perdendo uma oportunidade.
O golpe se revela quando a vítima tenta realizar o saque do dinheiro. Nessa fase, o sistema exige um depósito inicial para “ativar a conta”, ou solicita que a vítima convide amigos. Essa abordagem é típica de fraudes conhecidas como pig butchering, onde a vítima é convencida a investir quantias crescentes antes de perceber que nunca verá retorno real.
Malware disfarçado de aplicativos de marcas conhecidas
Além de fraudes financeiras, alguns Mini Apps da operação FEMITBOT tentam instalar malware em celulares Android. Esses sites frequentemente oferecem arquivos APK, que são instaladores de aplicativos fora da Play Store, disfarçando-os como se fossem apps de marcas reconhecidas como BBC, NVIDIA, Claro, CineTV e CoreWeave.
A distribuição de malware pode ocorre de três maneiras. O arquivo pode ser baixado diretamente com um clique, ser aberto em um navegador que parece confiável ou ser apresentado como um prompt para “adicionar à tela inicial”, simulando um app legítimo sem baixar arquivos.
A amplitude da operação é preocupante
CTM360 identificou mais de 60 domínios ativos que respondem com JSON válido, 146 bots no Telegram, incluindo grupos e canais, 15 diferentes modelos visuais, mais de 100 IDs de pixel do Meta para rastreamento de conversões e mais de 30 marcas sendo falsificadas simultaneamente.
A arquitetura do FEMITBOT é modular, permitindo que novos golpes sejam rapidamente implantados apenas mudando a aparência das marcas e a bot associada, enquanto o backend permanece o mesmo, confirmando a mesma resposta da API em todos os domínios analisados pela CTM360.
Usuários do Telegram devem ser cautelosos com bots que prometem retornos financeiros ou que solicitam a ativação de Mini Apps, especialmente quando há pedidos de depósitos ou downloads de aplicativos. No Android, instalar APKs fora da Play Store é uma das formas mais comuns de ser infectado por malware.
Falha grave no Linux permite acesso root a qualquer usuário
Siga a TecMania nas redes sociais e, para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
