FEMITBOT nutzt Telegram-Mini-Apps für Krypto-Betrug

Eine neue Schadsoftware-Plattform missbraucht die Mini-App-Funktion von Telegram für großangelegte Krypto-Betrügereien und die Verbreitung von Android-Malware. Das berichten Sicherheitsforscher von CTM360 in einem aktuellen Report. Die als FEMITBOT bekannte Plattform treibt einen besorgniserregenden Trend voran: Cyberkriminelle verlassen sich nicht mehr nur auf klassische Phishing-Links, sondern kapern zunehmend die internen Funktionen beliebter Messenger-Dienste.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden durch manipulierte Apps und Malware. 5 Schutzmaßnahmen für Android jetzt entdecken

Wie FEMITBOT funktioniert

Die Angreifer imitieren weltbekannte Marken wie Apple, NVIDIA, Coca-Cola, Disney und IBM. Über Telegram-Mini-Apps locken sie ihre Opfer mit erfundenen Kontoständen – die Nutzer glauben, ihnen seien Kryptowährungen gutgeschrieben worden.

Dann schlägt die Falle zu: Entweder sollen die Opfer eine Einzahlung tätigen, um die angeblichen Gewinne freizuschalten. Oder die Apps verteilen manipulierte Android-APK-Dateien, die als offizielle Updates getarnt sind. Die Malware gelangt so direkt auf das Smartphone der Nutzer.

Besonders perfide: Die Betreiber nutzen Tracking-Pixel großer Social-Media-Plattformen. Sie vermessen ihre Kampagnen mit denselben Methoden wie legitime Marketingabteilungen.

Angriffe auf Unternehmen nehmen zu

Doch nicht nur Privatnutzer sind betroffen. Parallel zur FEMITBOT-Kampagne steigt die Zahl der Angriffe auf Unternehmensinfrastruktur rasant an. Ende April 2025 entdeckten Forscher die „Mini Shai-Hulud"-Kampagne, die über 1.800 Entwickler-Repositories auf Plattformen wie PyPI, NPM und PHP kompromittierte. Die Tätergruppe TeamPCP stahl Entwickler-Zugangsdaten und verschaffte sich so Zugang zu tausenden nachgelagerten Organisationen.

Auch der Sicherheitsanbieter Trellix meldete Anfang Mai einen schwerwiegenden Vorfall: Unbefugte hatten Zugriff auf interne Quellcode-Repositories. Zwar blieben Produktionssysteme und Kundendaten unberührt, doch die Gefahr ist real: Angreifer könnten den gestohlenen Code nach Sicherheitslücken durchsuchen.

Kritische Lücken in cPanel und Linux

Eine der größten unmittelbaren Bedrohungen ist die Sicherheitslücke CVE-2026-41940 im Webhosting-Tool cPanel. Mit einem Schweregrad von 9,8 von 10 ermöglicht sie unautorisierten Root-Zugriff per CRLF-Injection. Über 44.000 IP-Adressen wurden bereits kompromittiert, mehr als 1,5 Millionen Instanzen sind weiterhin ungeschützt. Die Angreifer nutzen die Lücke, um die Erpressungssoftware „Sorry" zu installieren, die Lösegeldzahlungen von umgerechnet rund 6.500 Euro fordert.

Das US-Heimatschutzministerium CISA setzte den 3. Mai als Frist für Bundesbehörden, ihre Systeme zu sichern.

Parallel dazu sorgt die Linux-Schwachstelle CVE-2026-31431 für Alarm. Der als „Copy Fail" bekannte Logikfehler existiert seit 2017 in verschiedenen Distributionen und erlaubt lokalen Nutzern, ihre Rechte auf Root-Ebene auszuweiten – mit einem einfachen Python-Skript. Besonders gefährlich ist die Lücke in Container-Umgebungen wie Docker und Kubernetes.

Ransomware ohne Rettung

Die Erpressungssoftware VECT 2.0 enthält einen verheerenden Programmierfehler: Dateien größer als 128 Kilobyte werden durch den Verschlüsselungsprozess unwiederbringlich zerstört. Wie Check Point und Halcyon herausfanden, überschreibt der Algorithmus die notwendigen Entschlüsselungsschlüssel. Wer zahlt, bekommt seine Daten trotzdem nicht zurück.

NIS2 verschärft den Druck

Die aktuellen Bedrohungen treffen Unternehmen in einer Phase verschärfter Regulierung. Die EU-NIS2-Richtlinie tritt im Mai 2026 in ihre kritische Durchsetzungsphase. In Deutschland endete die Registrierungsfrist für betroffene Organisationen am 6. März – rund 29.500 Unternehmen sind nun erfasst. Bei Verstößen drohen Bußgelder von bis zu zwei Prozent des globalen Jahresumsatzes sowie persönliche Haftung für Führungskräfte.

Ermittlungserfolge gibt es dennoch: Ende April identifizierte das Bundeskriminalamt einen mutmaßlichen Anführer der REvil-Erpresserbande. Die Gruppe soll zwischen 2020 und 2024 mindestens 130 Angriffe auf deutsche Ziele verübt haben, mit einem Gesamtschaden von mindestens 35 Millionen Euro. Die fehlenden Auslieferungsabkommen mit bestimmten Staaten erschweren jedoch weiterhin die Strafverfolgung.

Was Unternehmen jetzt tun müssen

Die Angriffswelle zeigt: Die Unternehmensgrenze verläuft nicht mehr am Netzwerkrand, sondern an der Integrität der eingesetzten Drittanbieter-Tools. IT-Abteilungen müssen ihre Lieferanten genauer prüfen und interne Kommunikationsplattformen härten.

Die britischen Cyberbehörden empfehlen zudem den umstieg von klassischen Passwörtern auf Passkeys – biometrische und gerätegebundene Authentifizierungsverfahren, die deutlich widerstandsfähiger gegen Diebstahl sind.

Pro Quartal werden in Deutschland Millionen Online-Konten gehackt, oft durch gestohlene Passwörter. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten, um den Diebstahl Ihrer Zugangsdaten effektiv zu verhindern. Kostenlosen Passkey-Guide jetzt herunterladen

Die dringsten Sofortmaßnahmen: cPanel auf den aktuellen Stand bringen und den Linux-Kernel patchen. Die Lücken CVE-2026-41940 und CVE-2026-31431 werden bereits massiv ausgenutzt.

de | wissenschaft | 69275016 |