A infraestrutura conhecida como FEMITBOT tem explorado os Mini Apps do Telegram para realizar fraudes financeiras, coletar dados sem a necessidade de senha e instalar malware em dispositivos Android.
Uma operação de fraude em grande escala utiliza os Mini Apps do Telegram para aplicar golpes financeiros, se apresentar como marcas renomadas e disseminar malware para celulares Android. Denominada FEMITBOT pela empresa de inteligência em segurança CTM360, a operação foi detectada em abril de 2026 e já conta com mais de 60 domínios ativos e 146 bots no Telegram.
Os Mini Apps são aplicativos web leves que operam dentro do próprio Telegram, facilitando pagamentos e interações sem que o usuário precise sair da plataforma. Essa conveniência, que favorece usuários, acaba também sendo um convite ao abuso.
No esquema do FEMITBOT, os golpistas tiram proveito precisamente dessa característica. Quando uma pessoa interage com um bot e clica em “Iniciar”, o Telegram abre automaticamente uma página falsa dentro do aplicativo, que parece legítima, aumentando a sensação de segurança da vítima.
Funcionamento do golpe na prática
A operação inicia fora do Telegram. As vítimas são atraídas por anúncios no Facebook e Instagram prometendo “renda passiva” ou por convites não solicitados enviados diretamente no app.
Empresa brasileira teria sido envolvida em ataques DDoS contra provedores locais, afirma site
A infraestrutura do FEMITBOT usa pixels de rastreamento do Meta e do TikTok, ferramentas inicialmente criadas para medir o desempenho de campanhas publicitárias. Com isso, os golpistas monitoram o comportamento das vítimas e otimizam as fraudes em tempo real.
Ao clicar no bot, a vítima é redirecionada para um ambiente falso que simula plataformas de criptomoeda, serviços financeiros, ferramentas de inteligência artificial ou serviços de streaming. Marcas reconhecidas como BBC, Netflix, Binance, NVIDIA e MoonPay estão entre as mais de 30 que tiveram suas identidades visuais copiadas.
A coleta de dados é feita sem necessitar de senha
Um aspecto técnico merece destaque. Ao abrir o Mini App, o sistema extrai de forma silenciosa um conjunto de dados conhecido como initData, que inclui o ID do usuário, o nome e um código de autenticação gerado pelo próprio Telegram. Essa informação é enviada para os servidores dos criminosos, que criam uma sessão autenticada para a vítima, sem que ela precise inserir qualquer senha.
Isso garante que, do ponto de vista do sistema, o login pareça legítimo, deixando a vítima sem perceber que suas credenciais foram capturadas.
Banco Central lança serviço gratuito para bloquear abertura de contas em seu nome
Manipulação de saldos e o truque do depósito
Uma vez dentro do sistema, o painel mostra ganhos falsos em tempo real, com contadores regressivos e mensagens de “vagas VIP limitadas”. O objetivo é criar um senso de urgência, convencendo a vítima de que não pode perder aquela oportunidade.
O golpe se revela quando a pessoa tenta retirar o dinheiro, momento em que o sistema solicita um depósito inicial para “ativar a conta” ou exige que a vítima convide amigos. Esse esquema é característico de fraudes conhecidas como “pig butchering”, nas quais a vítima é induzida a investir quantias cada vez maiores antes de perceber que nunca haverá retorno.
Malware camuflado como aplicativos de marcas reconhecidas
Além das fraudes monetárias, alguns Mini Apps do FEMITBOT têm como objetivo instalar malware em dispositivos Android. Os sites oferecem arquivos APK, que são instaladores de aplicativos fora da Play Store, disfarçados como apps da BBC, NVIDIA, Claro, CineTV e CoreWeave, entre outros.
A distribuição desse malware pode ocorrer de três maneiras. O arquivo pode ser baixado diretamente, aberto por um navegador integrado ao app para parecer seguro, ou apresentado como um prompt para “adicionar à tela inicial”, simulando um aplicativo legítimo sem download real.
Guia de Motéis sofre vazamento de dados e expõe usuários; empresa confirma ataque
Os nomes dos arquivos são escolhidos para que pareçam aplicativos comuns. Os APKs são hospedados no mesmo domínio que a infraestrutura maior, o que assegura um certificado TLS válido e evita alertas de segurança nos navegadores.
Preocupante escala da operação
A CTM360 identificou mais de 60 domínios ativos, todos respondendo com JSON válido, 146 bots no Telegram, incluindo grupos e canais, 15 diferentes modelos visuais, mais de 100 IDs de pixels do Meta para rastreamento e mais de 30 marcas sendo falsificadas em simultâneo.
A modularidade do FEMITBOT permite que novos golpes sejam rapidamente implementados, bastando trocar a marca e o bot associado. O backend permanece inalterado, o que foi confirmado pela CTM360 ao verificar que a mesma resposta de API está presente em todos os domínios avaliados.
Usuários do Telegram devem ter cautela com bots que prometem lucros financeiros ou que solicitem o uso de Mini Apps, especialmente aqueles que pedem depósitos ou downloads de aplicativos. Para usuários Android, instalar APKs fora da Play Store é uma das maneiras mais frequentes de infecção por malware.
Pacote Python com milhões de usuários foi afetado por falha no GitHub
Acompanhe a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.