Mini Apps в Telegram превратили в витрину для Android-малвари и криптоскама

Mini Apps в Telegram превратили в витрину для Android-малвари и криптоскама

Mini Apps в Telegram превратили в витрину для Android-малвари и криптоскама

Исследователи из CTM360 обнаружили крупную мошенническую платформу, которая использует Telegram-ботов и мини-приложения (Mini Apps) для фишинга, криптоскамов и распространения вредоносных приложений для Android. Платформу назвали FEMITBOT (по строке, найденной в API-ответах инфраструктуры злоумышленников).

Telegram Mini Apps — это небольшие веб-приложения, которые открываются прямо внутри Telegram во встроенном браузере.

В легитимных сценариях они могут использоваться для платежей, личных кабинетов, интерактивных сервисов и других удобных функций. Но в этом случае мошенники используют тот же механизм, чтобы создавать убедительные «приложения» прямо внутри мессенджера.

По данным CTM360, FEMITBOT применяют сразу в нескольких типах кампаний: поддельных криптоплатформах, финансовых сервисах, ИИ-инструментах и стриминговых сайтах. Чтобы вызвать доверие, злоумышленники маскируют свои Mini Apps под известные бренды, включая Apple, Coca-Cola, Disney, eBay, IBM, MoonPay, NVIDIA и YouKu.

 

Схема выглядит довольно просто. Пользователь попадает на Telegram-бота, нажимает Start, после чего внутри Telegram открывается мини-приложение с фишинговой страницей. Из-за того что всё происходит прямо в интерфейсе мессенджера, страница может выглядеть более безопасной, чем обычный подозрительный сайт.

Дальше жертве показывают личный кабинет с фейковым балансом, заработком, бонусами или срочными предложениями. Часто добавляют таймеры обратного отсчёта и обещания быстрой прибыли — классический способ подтолкнуть человека к поспешному решению. Когда пользователь пытается вывести деньги, его просят сначала внести депозит или выполнить реферальные задания. По сути, это обычная инвестиционная схема, только упакованная в более современный формат.

Исследователи отмечают, что за разными доменами и Telegram-ботами стоит общая инфраструктура. В API-ответах встречалась одна и та же фраза: «Welcome to join the FEMITBOT platform». Это указывает на то, что разные кампании используют один и тот же бэкенд, просто меняя брендинг, язык, оформление и тематику.

 

Кроме фишинга, FEMITBOT также использовали для распространения APK-файлов. Некоторые вредоносные приложения маскировались под BBC, NVIDIA, CineTV, Coreweave и Claro. Пользователям предлагали скачать APK, открыть ссылку во встроенном браузере Telegram или установить прогрессивное веб-приложение.

Как выяснили исследователи, имена APK-файлов подбирались так, чтобы напоминать легитимные приложения или выглядеть достаточно нейтрально. При этом сами файлы размещались на тех же доменах, что и API, что помогало избежать предупреждений о смешанном контенте.

Для отслеживания эффективности кампаний мошенники также использовали трекинговые скрипты. Это позволяло им анализировать поведение пользователей, считать конверсии и, вероятно, оптимизировать свои схемы так же, как это делают обычные рекламные кампании.

Cloud.ru добавил внешние языковые модели в Foundation Models

Cloud.ru расширил сервис Foundation Models: теперь в нём доступны не только модели, развернутые в собственной инфраструктуре компании, но и внешние большие языковые модели от глобальных провайдеров, включая Alibaba, DeepSeek, Z.ai и других.

Пользователи смогут выбирать открытые и проприетарные модели под разные задачи, подключать их через единый API или веб-интерфейс, сравнивать параметры и стоимость, а платить — за фактическое использование.

В Cloud.ru называют Foundation Models единой точкой доступа к широкому набору моделей. В компании также отмечают, что сервис должен стать альтернативой OpenRouter, который ушёл с российского рынка в июне 2026 года.

Отдельный акцент сделан на работе с данными. В платформе предусмотрены инструменты контроля и безопасности, включая Guardrails. Они позволяют проверять запросы, маскировать корпоративные и пользовательские данные и снижать риск утечек при использовании сторонних моделей. Если система обнаруживает чувствительные данные, такие случаи фиксируются в мониторинговых алертах.

При этом Cloud.ru продолжит предлагать модели, развернутые в собственной инфраструктуре, для сценариев, где важно соблюдение требований 152-ФЗ. Внешние модели добавляются как отдельный вариант для задач, где нужен более широкий выбор или быстрый доступ к новым решениям глобальных провайдеров.

Сейчас в каталоге Foundation Models представлено более 20 больших языковых моделей из семейств GLM, Qwen, DeepSeek, MiniMax, GigaChat и других. Среди внешних моделей уже доступна GLM-5.2, вышедшая на мировой рынок в конце июня и привлекшая внимание результатами в задачах кодинга и агентных сценариях.

Сервис Foundation Models был запущен в коммерческую эксплуатацию в ноябре 2025 года. С тех пор модели обработали 450 млрд токенов. Среди наиболее популярных сценариев использования в Cloud.ru называют разработку, клиентскую поддержку, продажи и создание контента.

По сути, Cloud.ru расширяет витрину моделей: часть можно использовать внутри собственной инфраструктуры компании, часть — подключать у внешних провайдеров, но через единый интерфейс и с дополнительным контролем данных.

RSS: Новости на портале Anti-Malware.ru