Telegram nel mirino: nuove truffe crypto sfruttano mini app per diffondere APK infetti

Telegram nel mirino: nuove truffe crypto sfruttano mini app per diffondere APK infetti

4 Maggio 2026

Operazione FEMITBOT, come le Telegram Mini App diventano armi di truffa globale

Un’ampia campagna fraudolenta, battezzata FEMITBOT, sta sfruttando le Telegram Mini App per colpire utenti in tutto il mondo con finte piattaforme di trading crypto e malware Android. L’operazione, individuata da ricercatori di cybersecurity di CTM360, agisce all’interno dell’app di Telegram tramite WebView manipolate, rendendo le interfacce quasi indistinguibili da funzioni native. Le truffe si concentrano su utenti che cercano investimenti rapidi e strumenti finanziari digitali, in particolare tramite bot che simulano servizi di brand noti. L’attività è in corso da mesi e continua a evolvere grazie a un’infrastruttura centralizzata capace di cambiare facilmente lingua, marchio e tattiche. L’obiettivo è duplice: sottrarre denaro con schemi di “pagamento anticipato” e infettare smartphone Android con app malevole distribuite via APK.

In sintesi:

  • FEMITBOT sfrutta Mini App di Telegram in WebView per phishing e truffe crypto.
  • Simulati brand globali come Apple, NVIDIA, IBM, Disney, eBay, Coca-Cola.
  • Distribuiti APK Android malevoli ospitati sugli stessi domini delle API di controllo.
  • Usati pixel di tracciamento Meta e TikTok per ottimizzare le campagne fraudolente.

Il meccanismo inizia con un bot Telegram che invita l’utente a premere “Start”.
La pressione del comando avvia una Mini App che carica una sofisticata pagina di phishing all’interno della WebView integrata.
Restando nell’ecosistema di Telegram, l’utente tende a fidarsi, percependo il contenuto come “ufficiale”.

Le dashboard fraudolente mostrano presunti saldi crypto, grafici e guadagni in tempo reale, accompagnati da saldi fittizi, countdown, offerte a tempo limitato e bonus di benvenuto, tutte classiche leve di ingegneria sociale per forzare decisioni rapide.
Il design imita piattaforme di trading regolamentate e servizi di pagamento legittimi, rendendo difficile distinguere la truffa da un vero servizio.
L’assenza di passaggi fuori dall’app, come l’apertura del browser, riduce ulteriormente la percezione di rischio da parte delle vittime.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

L’infrastruttura FEMITBOT e l’ecosistema di brand falsi e malware Android

L’infrastruttura di FEMITBOT è progettata come piattaforma centralizzata che orchestra contemporaneamente numerose campagne, ognuna con dominio e brand diversi.
I ricercatori hanno individuato una risposta API ricorrente, “Welcome to join the FEMITBOT platform”, che collega centinaia di domini di phishing allo stesso backend.
L’architettura modulare consente di modificare in poche ore marchio, layout, lingua e messaggi, adattandosi ai mercati locali e riducendo la possibilità di blocchi coordinati.

Tra i marchi contraffatti compaiono pesi massimi come Apple, NVIDIA, IBM, Disney, eBay, Coca-Cola e servizi finanziari come Moon Pay, utilizzati per rafforzare la credibilità delle pseudo-piattaforme di investimento.
Il modello truffaldino è quello del “pagamento anticipato”: quando l’utente tenta di prelevare i guadagni, il sistema impone un deposito cauzionale o il completamento di task di referral, fondi che vengono incassati senza rilasciare alcun profitto.
Parallelamente, FEMITBOT distribuisce malware Android tramite file APK presentati come app ufficiali di brand come BBC, CineTV o Coreweave, mirando sia al furto di dati sia al controllo del dispositivo.

I file malevoli sono ospitati sullo stesso dominio dell’API di controllo, sfruttando il medesimo certificato TLS per evitare avvisi sui browser riguardo contenuti non sicuri o certificati sospetti.
I nomi APK imitano app di sistema o strumenti innocui, rendendo meno evidente il rischio nel sideloading manuale.
Per massimizzare il ritorno economico, gli sviluppatori hanno integrato pixel di tracciamento di Meta e TikTok, monitorando conversioni da clic a depositi o installazioni e ottimizzando spesa pubblicitaria e diffusione link sui social.

Impatto futuro su Telegram, utenti crypto e sicurezza Android

L’operazione FEMITBOT evidenzia quanto l’uso non regolato di WebView e Mini App in ambienti chiusi come Telegram possa amplificare truffe finanziarie e infezioni Android.
Se non verranno introdotti controlli più rigidi su bot e applicazioni integrate, queste campagne potranno espandersi rapidamente verso altri settori oltre alle criptovalute, colpendo pagamenti digitali, gaming e streaming.
Per gli utenti, la linea guida resta netta: evitare categoricamente l’installazione di APK da fonti esterne al Google Play Store e diffidare di qualsiasi bot che prometta rendimenti anomali, soprattutto se richiede depositi anticipati o procedure di installazione manuale.

FAQ

Che cos’è FEMITBOT e come colpisce gli utenti Telegram?

FEMITBOT è una piattaforma fraudolenta che sfrutta bot e Mini App di Telegram per mostrare finti investimenti crypto e rubare denaro o infettare dispositivi Android.

Perché le Telegram Mini App facilitano phishing e truffe crypto?

Le Mini App usano WebView interne, che simulano perfettamente funzioni native di Telegram, inducendo fiducia implicita e riducendo i segnali di allarme per l’utente medio.

Quali rischi comporta installare APK proposti da bot Telegram?

Installare APK da bot espone a malware Android capaci di rubare credenziali, intercettare SMS, accedere a wallet crypto e controllare da remoto lo smartphone.

Come riconoscere una finta piattaforma di trading su Telegram?

È sospetta se promette guadagni irrealistici, chiede depositi per sbloccare profitti, usa countdown aggressivi e richiede installazioni APK esterne al Google Play Store.

Quali sono le fonti utilizzate per questa analisi su FEMITBOT?

L’analisi deriva da una elaborazione congiunta delle fonti ufficiali Ansa.it, Adnkronos.it, Asca.it e Agi.it, rielaborate dalla nostra Redazione.

Michele Ficara Manganelli ✿∴♛🌿🇨🇭 Avatar

Michele Ficara Manganelli ✿∴♛🌿🇨🇭

Direttore Editoriale Assodigitale.it Phd, MBA, CPA

Storico esperto di Digital Journalism e creatore di Immediapress la prima Digital Forwarding Agency italiana poi ceduta al Gruppo ADNkronos, evangelista di Internet dai tempi di Mozilla e poi antesignano (ora pentito) dei social media in italia, Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.
michele.ficara@assodigitale.it
LinkedIn Instagram YouTube Telegram
Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

  1. Expert Review: All articles are reviewed by subject matter experts.
  2. Source Validation: Information is backed by credible, up-to-date sources.
  3. Transparency: We clearly cite references and disclose potential conflicts.
Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

  • Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
  • Up-to-date Insights: We incorporate the latest research, trends, and standards.
  • Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.