Исследователь в сфере кибербезопасности Эрик Паркер обнаружил в клиенте мессенджера Telegram из магазина приложений APKPure подозрительный код, который отправляет пользовательские данные на сторонний сервер. Речь идёт о номерах телефонов, профилях и файлах с устройства, включая фотографии, видео, документы и данные SIM-карты.
Во время декомпиляции APK-файла Паркер обнаружил класс DataCollector, который отсутствует в логике обычной версии Telegram. В коде стороннего клиента прописан адрес сервера, расположенного в Гонконге.
Вызовы методов отправки пользовательских данных внедрены в рабочие участки приложения и срабатывают при входе в аккаунт. Код включает точки входа, название которых указывает на скрытую выгрузку данных.
Редакция «Кода Дурова» выявила, что Telegram из APKPure применяет иную цифровую подпись, чем клиент, загруженный с официального сайта мессенджера.
Только 1 из 56 антивирусов реагировал на сторонний APK при проверке через сервис VirusTotal, что, вероятно, связано со свежестью сборки. Паркер не нашёл класса DataCollector в официальном стабильном клиенте Telegram.
В 2021 году специалисты «Лаборатории Касперского» и Dr.Web выявили вредоносный код в самом магазине приложений APKPure, а именно троян Triada, который умел показывать рекламу и подгружать на устройство сторонние модули. Вскоре магазин исправил версию своего сервиса.
Спустя четыре года пользователи обвинили APKPure и другие сторонние площадки в распространении скомпрометированных клиентов Telegram X с бэкдором. Цифровая подпись сборок отличалась от официальной.
В прошлом месяце Apple начала помечать как вредоносное приложение альтернативный клиент Telegram под названием Telega, хотя разработчики проекта отрицают этот статус. До этого вышла статья, в которой автор указал, что создатели Telega активировали скрытый функционал, позволяющий перехватывать все данные между приложением и сервером.
