Telegram Mini Apps 助长加密货币诈骗，Android 恶意软件活动

执行摘要

研究人员发现了一个大规模的欺诈行动，利用Telegram的Mini App功能进行加密货币诈骗、品牌冒充和Android恶意软件分发。根据BleepingComputer（2026年5月3日）的一份报告，该活动涉及100多个欺诈性Mini Apps，模仿合法服务，如加密货币交易所、钱包提供商和投资平台。受害者通过社交媒体广告和Telegram频道被诱导，然后被引导至Mini Apps，这些应用要么窃取凭证，要么耗尽加密货币钱包，要么安装包括SpyNote和ERMAC在内的Android恶意软件。

技术分析

Telegram的Mini App平台允许第三方开发者构建在Telegram客户端内运行的轻量级Web应用程序，可通过内联按钮或机器人界面访问。攻击者注册了多个Telegram机器人，并配置它们提供复制知名加密品牌登录页面的Mini Apps。一旦用户输入凭证或连接钱包，数据就会被泄露到攻击者控制的服务器。在某些变体中，Mini App提示用户下载APK文件，伪装成安全更新或交易工具。研究人员分析的下载有效载荷包括SpyNote（针对Android的远程访问木马）和ERMAC（针对加密货币钱包应用的银行木马）。

BleepingComputer报告称，该行动采用了分层基础设施：Telegram机器人作为初始接触点，Mini Apps托管网络钓鱼或恶意软件分发界面，后端服务器收集被盗数据或指挥受感染的设备。该活动似乎是出于财务动机，根据Telegram群组中的受害者报告和区块链分析，估计损失高达数十万美元。研究人员指出，通过使用短期存在的机器人令牌和频繁轮换域名，绕过了Telegram的Mini App审核流程，使得取缔工作变得具有挑战性。

缓解措施与建议

防御者应建议用户避免点击未经请求的Telegram机器人链接或Mini App邀请，特别是那些承诺高收益加密货币投资或需要APK下载的链接。加密货币领域的组织应监控Telegram Mini Apps中的品牌冒充，并报告欺诈性机器人给Telegram的滥用团队。Android用户应在系统设置中禁用从未知来源安装，并在侧载之前验证应用签名。安全团队可以部署网络级别的阻止已知与SpyNote和ERMAC活动相关的C2域名，并实施针对基于Telegram的社会工程战术的用户意识培训。