Pesquisadores da empresa de inteligência de ameaças CTM360 identificaram uma operação fraudulenta em larga escala que utiliza os Mini Apps do Telegram para aplicar golpes financeiros, clonar marcas conhecidas e distribuir malware para dispositivos Android.
Batizada de FEMITBOT, a campanha foi detectada em abril de 2026 e já opera com uma estrutura robusta, composta por mais de 60 domínios ativos e 146 bots espalhados pelo Telegram, entre canais, grupos e contas automatizadas.
Como os criminosos exploram os Mini Apps
Os Mini Apps são aplicações web integradas ao Telegram que permitem pagamentos, autenticação e outras interações sem que o usuário precise sair do aplicativo.
Embora o recurso tenha sido criado para facilitar a experiência na plataforma, ele também abriu espaço para abusos.
No caso do FEMITBOT, os criminosos se aproveitam justamente dessa integração. Quando a vítima interage com um bot e seleciona a opção “Iniciar”, o Telegram abre automaticamente uma página fraudulenta dentro do próprio app.
Como o ambiente visualmente parece fazer parte da plataforma oficial, a falsa sensação de segurança aumenta significativamente as chances de sucesso do golpe.
Fraude começa fora do Telegram
A campanha costuma atrair vítimas por meio de anúncios patrocinados no Facebook e Instagram, geralmente com promessas de:
- renda passiva;
- ganhos rápidos com investimentos;
- oportunidades exclusivas de criptomoedas.
Também há casos de convites enviados diretamente pelo próprio Telegram.
Segundo a CTM360, a operação utiliza pixels de rastreamento da Meta e do TikTok para monitorar o comportamento das vítimas e ajustar as campanhas em tempo real.
Marcas famosas são usadas como isca
Após clicar no bot, a vítima é direcionada para páginas falsas que simulam plataformas legítimas.
Mais de 30 marcas conhecidas tiveram suas identidades visuais clonadas, incluindo:
- BBC
- Netflix
- Binance
- NVIDIA
- MoonPay
Os golpistas usam interfaces extremamente convincentes para induzir confiança.
Roubo acontece sem digitação de senha
Um dos aspectos mais sofisticados da operação é a exploração silenciosa do initData, um pacote de informações gerado automaticamente pelo Telegram ao abrir Mini Apps.
Esse conjunto inclui:
- ID do usuário;
- nome da conta;
- token de autenticação.
Esses dados são enviados diretamente aos servidores dos criminosos, que criam uma sessão autenticada sem exigir qualquer login manual.
Na prática, o sistema interpreta o acesso como legítimo, e a vítima sequer percebe que seus dados foram capturados.
Saldos falsos induzem depósitos
Depois do acesso, a interface exibe ganhos fictícios em tempo real, acompanhados de:
- cronômetros regressivos;
- alertas de vagas limitadas;
- notificações de lucros instantâneos.
A estratégia é criar senso de urgência.
O golpe se concretiza quando a vítima tenta sacar o suposto saldo. Nesse momento, o sistema exige:
- um depósito inicial para “ativação”;
- convite de novos usuários;
- pagamento de taxas de liberação.
Esse modelo segue o padrão conhecido como pig butchering, no qual a vítima é manipulada a investir progressivamente até perceber que não há qualquer retorno real.
Malware disfarçado de aplicativos famosos
Além da fraude financeira, parte da operação distribui malware para Android.
Os Mini Apps oferecem arquivos APK — instaladores externos à Play Store — disfarçados como aplicativos de marcas conhecidas, como:
- BBC
- NVIDIA
- Claro
- CineTV
- CoreWeave
A instalação pode ocorrer de três formas:
- download direto;
- abertura por navegador interno do Telegram;
- falso prompt para “adicionar à tela inicial”.
Os arquivos são hospedados na própria infraestrutura do golpe e contam com certificados TLS válidos, o que reduz alertas de segurança no navegador.
Estrutura preocupa especialistas
A CTM360 mapeou uma operação altamente organizada, com:
- 60+ domínios ativos
- 146 bots no Telegram
- 15 layouts visuais distintos
- 100+ IDs de rastreamento da Meta
- 30+ marcas falsificadas
Segundo os pesquisadores, a arquitetura modular do FEMITBOT permite lançar novos golpes rapidamente, bastando alterar a identidade visual e o bot utilizado.
O backend, no entanto, permanece o mesmo — algo confirmado pela repetição das mesmas respostas de API em todos os domínios analisados.
Como se proteger
Especialistas recomendam atenção redobrada ao interagir com bots no Telegram, especialmente quando houver:
- promessas de lucro rápido;
- solicitação de depósitos;
- download de aplicativos externos;
- Mini Apps ligados a investimentos.
No Android, instalar APKs fora da Play Store continua sendo uma das principais portas de entrada para malware.
