- Infraestrutura chamada FEMITBOT usa os Mini Apps do Telegram para golpes financeiros, se passando por marcas conhecidas e distribuindo malware em Android; identificada em abril de 2026 pela CTM360, com mais de 60 domínios ativos e 146 bots no Telegram.
- Ao iniciar um Mini App falsificado dentro do Telegram, a vítima é levada a um site que parece oficial, aumentando a sensação de legitimidade.
- O ataque começa fora do Telegram, via anúncios ou convites no app; utiliza pixels de rastreamento do Meta e do TikTok para monitorar comportamentos e otimizar o golpe em tempo real.
- Dados dos usuários são coletados sem senha: ao abrir o Mini App, é extraído initData (ID do usuário, nome e código de autenticação do Telegram) e usado para criar uma sessão falsa.
- O esquema envolve ganhos falsos em tempo real para criar urgência, pedidos de depósito para “ativar a conta” ou convite de amigos, além de distribuição de APKs maliciosos que simulam apps de marcas como BBC, NVIDIA e outras.
O Femtobot? Não. O FEMITBOT é uma infraestrutura de fraude que usa os Mini Apps do Telegram para aplicar golpes, capturar dados e distribuir malware. Identificada pela CTM360, a operação foi detectada em abril de 2026 e já envolve mais de 60 domínios ativos e 146 bots no Telegram.
A fraude se apresenta dentro do próprio aplicativo. Ao iniciar um bot, o Telegram abre um site falso que imita plataformas reais, aumentando a sensação de legitimidade. Vítimas são expostas a interfaces que parecem oficiais.
Como tudo começou
A operação começa fora do Telegram, com anúncios no Facebook e Instagram prometendo renda passiva. Também circulam convites não solicitados enviados pelo app. A infraestrutura usa pixels de Meta e TikTok para monitorar comportamento e otimizar golpes.
Qual é o alvo e como enganam
Entre as marcas falsas estão BBC, Netflix, Binance, NVIDIA e MoonPay, entre mais de 30 identidades imitadas. As interfaces visuais são copiadas para induzir a confiança da vítima dentro do Telegram.
O funcionamento técnico do ataque
Ao abrir o Mini App, o sistema extrai dados initData, com o ID do usuário, nome e um código de autenticação do Telegram. Esses dados são enviados aos criminosos para criar uma sessão autenticada sem senha.
O que a vítima vê e o que vem depois
Após o acesso, surge um painel com ganhos simulados, contadores regressivos e mensagens de vagas VIP. A ideia é gerar urgência para que a vítima deposte ou convide amigos, prática típica de pig butchering.
A etapa de saque e o golpe financeiro
O golpe se revela quando a vítima tenta sacar. Um depósito inicial é pedido para ativar a conta ou é exigida a indicação de contatos, elevando o valor necessário em investimentos simulados.
Malware disfarçado de apps famosos
Alguns Mini Apps tentam instalar malware em Android. Técnicos descrevem APKs que simulam apps de marcas como BBC, NVIDIA, Claro, CineTV e CoreWeave, entre outras.
Escala e estrutura da operação
A CTM360 identifica 60+ domínios ativos, 146 bots no Telegram, 100 IDs de pixels do Meta e 30 marcas falsificadas simultaneamente. A arquitetura modular facilita a troca de marcas sem alterar o backend.
Por que isso preocupa
As intrusões ocorrem dentro do ambiente do Telegram, o que facilita a distração e o engano. A prática de distribuir APKs fora da Play Store aumenta o risco de infecção em Android.
Recomendações para usuários do Telegram
Desconfie de bots que prometem ganhos financeiros ou solicitam depósitos. Evite instalar Mini Apps de fontes não confiáveis e não baixe APKs fora da loja oficial.
Entre na conversa da comunidade