Автор admin Дослідник у сфері кібербезпеки Ерік Паркер виявив у клієнті Telegram, який розповсюджується через Android-магазин APKPure, шпигунський код. Ця версія месенджера підписана не ключем Telegram і містить клас, що надсилає на віддалений сервер номер телефону, профіль та файли з пристрою, у тому числі документи, зображення та відео з галереї.
Читайте также: Мелания Трамп Развод: подробности личной жизни и карьеры
Що саме знайшли в коді
Під час декомпіляції APK-файлу Паркер виявив клас DataCollector, якого немає в логіці звичайної версії Telegram. В коді стороннього клієнта прописана адреса сервера, розташованого в Гонконзі.
Виклики методів відправки даних вбудовані в робочі ділянки застосунку і спрацьовують при вході користувача в акаунт. У коді прописані ендпоінти з характерними назвами на зразок /api/collect і /api/collect_batch — така схема типова для застосунків, що приховано вивантажують дані. Серед того, що збирає шкідливий клас: номери телефонів, профілі користувачів, фотографії та відео з галереї, документи і дані SIM-карти.
Підпис не збігається з офіційним
Редакція сайту «Код Дурова», який часто публікує інсайди від команди Telegram, перевірила APK з APKPure і виявила, що він використовує інший цифровий підпис. Збірка з APKPure (версія 12.6.5) підписана сертифікатом, відбиток якого не збігається з відбитком сертифіката офіційного клієнта, завантаженого з сайту telegram.org. Оскільки перезібрати й перепідписати застосунок чужим ключем неможливо без втручання у вихідний APK, розбіжність підпису прямо вказує: збірка з APKPure модифікована і випущена не Telegram.
Антивіруси поки мовчать
Лише 1 з 56 антивірусів реагував на сторонній APK при перевірці через сервіс VirusTotal, що, ймовірно, пов’язано зі свіжістю збірки. Паркер також підтвердив, що в офіційному стабільному клієнті Telegram класу DataCollector немає.
Читайте также: Загадка бронзової доби. У Румунії знайшли 3000-річний золотий скарб, що змінює уявлення про історію
Це не перший інцидент, пов’язаний із цим магазином. У 2021 році дослідники «Лабораторії Касперського» та Dr.Web виявили шкідливий код безпосередньо в самому застосунку магазину — троян сімейства Triada, здатний показувати рекламу і завантажувати на пристрій сторонні модулі; APKPure тоді випустила виправлену версію. У 2025 році повідомлялося, що через APKPure та ряд інших сторонніх майданчиків розповсюджувалися скомпрометовані збірки Telegram X із бекдором.
У минулому місяці Apple почала позначати як шкідливий альтернативний російський клієнт Telegram під назвою Telega, хоча розробники проекту заперечують цю інформацію.
Висновок простий: завантажувати Telegram необхідно виключно з офіційних джерел — Google Play, App Store або безпосередньо з сайту telegram.org. Сторонні магазини, навіть популярні, не гарантують цілісності та справжності розповсюджуваних застосунків.
Читайте также: Прихована загроза. Шкідлива їжа в дитинстві здатна назавжди змінити структуру мозку та регуляцію апетиту
Нагадаємо, кілька тижнів тому Telegram отримав захист від накрутки ботів.
Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn