FEMITBOT là một mối đe dọa mạng được tổ chức theo mô hình lừa đảo quy mô lớn, khai thác Telegram Mini Apps để triển khai gian lận tiền mã hóa và phát tán phần mềm độc hại Android. Chiến dịch này được ghi nhận từ tháng 4/2026, nhắm vào người dùng thông qua các ứng dụng giả mạo sàn giao dịch tiền mã hóa, dịch vụ streaming, nền tảng tài chính và công cụ AI.
Kiến trúc của chiến dịch FEMITBOT
Hạ tầng của FEMITBOT vận hành qua nhiều miền khác nhau nhưng dùng chung một backend. Phân tích cho thấy hơn 60 domain đang hoạt động cùng trả về một phản hồi API giống nhau: “Welcome to join the FEMITBOT platform.” Dấu vân tay thống nhất này cho thấy toàn bộ chiến dịch được xây dựng trên một bộ kit duy nhất, được thiết kế để mở rộng nhanh và khó truy vết.
Nhà nghiên cứu từ CTM360 đã xác định hạ tầng độc hại và ghi nhận cơ chế hoạt động gắn chặt với Telegram. Tài liệu phân tích gốc có thể tham khảo tại CTM360 Report.
Telegram Mini Apps bị lạm dụng như thế nào
Telegram Mini Apps là các web app nhẹ chạy ngay trong Telegram, có thể xử lý đăng nhập, thanh toán và tính năng tương tác. Chính sự tiện lợi này khiến chúng dễ bị biến thành công cụ cho lừa đảo tiền mã hóa.
Trong chiến dịch FEMITBOT, người dùng bị dẫn dụ qua quảng cáo mạng xã hội và lời mời Telegram không mong muốn, thường gắn với các hứa hẹn như thu nhập thụ động dễ dàng. Khi người dùng mở bot, ứng dụng hiển thị giao diện bóng bẩy, mô phỏng thương hiệu quen thuộc để tạo cảm giác hợp lệ.
Cơ chế giả mạo giao diện và thao túng người dùng
Giao diện giả mạo thường bao gồm:
- Bảng điều khiển lợi nhuận giả.
- Đồng hồ đếm ngược để tạo cảm giác khẩn cấp.
- Thông báo nâng cấp VIP nhằm thúc ép hành động.
- Yêu cầu nạp tiền nhỏ để “mở khóa” phần thưởng.
Kịch bản này được lặp lại để dẫn người dùng đến bước nạp tiền thật. Khi khoản nạp được thực hiện, tiền sẽ bị chiếm đoạt dưới danh nghĩa xác minh hoặc rút thưởng.
Chuỗi lừa đảo và thu thập dữ liệu phiên
Khi nạn nhân mở một bot thuộc FEMITBOT, ứng dụng âm thầm thu thập Telegram user ID, display name và dữ liệu xác thực thông qua thành phần gọi là initData. Dữ liệu này được gửi về máy chủ của kẻ vận hành, sau đó tài khoản nạn nhân được đăng nhập tự động mà không cần mật khẩu.
Máy chủ tiếp tục tải đúng giao diện thương hiệu tương ứng, ví dụ như mô phỏng sàn giao dịch, dịch vụ giải trí hoặc một nền tảng đào tạo/AI. Việc ánh xạ theo cấu hình skin giúp chiến dịch tái sử dụng cùng một hạ tầng cho nhiều thương hiệu giả mạo khác nhau.
Quy mô của hạ tầng FEMITBOT
Phân tích hạ tầng cho thấy chiến dịch có quy mô lớn và được tổ chức bài bản:
- 146 bot Telegram đang hoạt động.
- Hơn 30 thương hiệu bị giả mạo.
- Trên 100 tracking pixel ID liên kết với hệ thống quảng cáo Meta và TikTok.
- Hơn 22 ngôn ngữ được hỗ trợ.
Các tracking pixel được dùng để đo hiệu quả từng mồi nhử, từ đó tối ưu nội dung quảng cáo theo thời gian thực. Ngoài ra, hệ thống referral nhiều cấp cho phép nạn nhân bị biến thành người giới thiệu bất đắc dĩ, mở rộng phạm vi lan truyền của chiến dịch.
Telegram Mini Apps và lớp ẩn danh hạ tầng
FEMITBOT còn sử dụng mạng phân phối để che giấu nguồn gốc thật của hạ tầng. Các trang độc hại được triển khai thông qua Cloudflare, khiến việc xác định máy chủ gốc trở nên khó hơn. Điều này làm tăng độ bền vững cho mối đe dọa mạng và cản trở quá trình phân tích nguồn phát tán.
Vì các ứng dụng tải ngay trong cửa sổ trình duyệt của Telegram, người dùng thường ít nghi ngờ hơn so với khi bị chuyển sang trình duyệt bên ngoài. Đây là một đặc điểm đáng chú ý của chiến dịch lừa đảo tiền mã hóa dựa trên Telegram.
Phát tán Android malware qua cùng một bộ kit
Ngoài gian lận tài chính, FEMITBOT còn hoạt động như một kênh phát tán Android malware. Một số site trong mạng có feature flag ẩn, khi bật sẽ phục vụ trực tiếp file APK độc hại cho người truy cập. Tên file được đặt giống ứng dụng thật để giảm khả năng bị nhận diện.
Có ba cách phân phối chính:
- Tải file trực tiếp thông qua nút tải xuống.
- Mở trong in-app browser để tạo cảm giác đáng tin hơn.
- Progressive Web App yêu cầu thêm trang vào màn hình chính.
Các cách này đều nhằm giảm ma sát trong trải nghiệm, đưa phần mềm độc hại vào thiết bị càng nhanh càng tốt. Đây là một dạng phát hiện xâm nhập cần theo dõi ở lớp trình duyệt, DNS và lưu lượng ra ngoài.
IOC và dấu hiệu nhận diện
Nội dung gốc có đề cập phần Indicators of Compromise (IoCs), nhưng không cung cấp danh sách IP hoặc domain cụ thể trong đoạn trích. Vì vậy, phần IOC có thể trích xuất được chỉ ở mức dấu hiệu kỹ thuật hành vi.
- Phản hồi API giống nhau trên nhiều domain: “Welcome to join the FEMITBOT platform.”
- initData được gửi về server ngay sau khi người dùng mở bot.
- APK độc hại được phát tán từ các site có feature flag ẩn.
- Tracking pixel liên kết với Meta và TikTok để đo hiệu quả mồi nhử.
Biện pháp giám sát và giảm thiểu
Để hạn chế rủi ro từ FEMITBOT, các đội vận hành nên chặn các domain đã biết liên quan đến hạ tầng này và giám sát lưu lượng ra ngoài tới các đích bất thường. Việc theo dõi Telegram Mini Apps trong môi trường doanh nghiệp cũng cần được đưa vào quy trình phát hiện tấn công.
Một số điểm kiểm soát phù hợp gồm:
- Chặn hoặc cảnh báo các miền đã xác định trong threat intelligence nội bộ.
- Giám sát lưu lượng đến các site Telegram-based bất thường.
- Phát hiện file APK được tải từ trang ngoài kho ứng dụng chính thức.
- Rà soát thiết bị người dùng khi xuất hiện quyền truy cập bất thường hoặc cài đặt từ nguồn không xác định.
Người dùng chỉ nên cài ứng dụng từ kho chính thức và tránh mọi liên kết Telegram yêu cầu nạp tiền hoặc hứa hẹn lợi nhuận đảm bảo. Với môi trường nghiên cứu, các miền liên quan đến chiến dịch cần được xử lý trong nền tảng threat intelligence hoặc SIEM đã được kiểm soát.
Tham chiếu kỹ thuật
Thêm thông tin nền tảng về các chiến dịch lạm dụng ứng dụng web và hạ tầng phân phối có thể đối chiếu tại CISA và hệ thống tra cứu lỗ hổng NVD.
