В сторонней версии Telegram из магазина APKPure нашли код массового сбора данных

Сторонние маркетплейсы приложений давно стали головной болью для специалистов по информационной безопасности. Пользователи скачивают оттуда софт ради более старых версий, региональной разблокировки или просто по привычке. Теперь к числу таких угроз добавился и, казалось бы, безобидный клиент популярного мессенджера. Исследователь Эрик Паркер обратил внимание на то, что сторонний Android-магазин APKPure распространяет модифицированную сборку Telegram. Вместо официального приложения пользователи получают вариант, который незаметно выгружает на чужой сервер их номер телефона, профиль и файлы с устройства.

Описание

Версия мессенджера, доступная в APKPure, подписана не ключом Telegram. Это первое тревожное отличие. При декомпиляции APK-файла в коде обнаруживается класс DataCollector (класс-сборщик данных), которого в логике обычного мессенджера нет. Более того, прямо в коде прописан адрес сервера, расположенного, по данным проверки IP, в Гонконге. Такая схема типична для приложений, которые скрытно выгружают личную информацию.

Эрик Паркер в своём обращении описал детали находки. Класс DataCollector содержит методы отправки на сторонний сервер не только номера телефона и профиля, но и изображений, видео из галереи, а также документов с устройства и данных SIM-карты. Вызовы этих методов встроены в рабочие участки приложения. Например, они срабатывают при каждом входе пользователя в аккаунт. В коде прописаны характерные адреса вроде /api/collect и /api/collect_batch - это явный признак того, что данные собираются в автоматическом режиме.

Редакция "Кода Дурова" также проверила APK с APKPure. Сборка (версия 12.6.5) подписана сертификатом с отпечатком, который не совпадает с отпечатком сертификата официального клиента, загруженного с сайта telegram.org. Пересобрать и переподписать приложение чужим ключом невозможно без вмешательства в исходный APK-файл. Следовательно, расхождение подписи прямо указывает на то, что сборка модифицирована и выпущена не командой Telegram.

Любопытно, что на сервисе VirusTotal файл на момент проверки детектировал лишь один антивирус из 56. Массово угрозу защитные системы пока не подтверждают. Это может объясняться тем, что сборка свежая и сигнатуры ещё не обновлены. Сам Паркер отмечает, что в официальном стабильном клиенте Telegram класса DataCollector он не обнаружил.

Это не первый случай, когда к APKPure возникают вопросы по части безопасности. Исследователи "Лаборатории Касперского" и Dr.Web нашли вредоносный код прямо внутри самого приложения магазина - троян семейства Triada, который мог показывать рекламу и загружать на устройство сторонние модули. APKPure тогда выпустила исправленную версию. В 2025 году сообщалось, что через APKPure и ряд других площадок распространялись скомпрометированные сборки Telegram X с бэкдором (скрытым входом для злоумышленников). Их раздавали под именем официального разработчика, хотя цифровая подпись отличалась от настоящей. Текущая находка продолжает эту тревожную тенденцию.

Почему это событие важно для обычных пользователей? Дело в том, что миллионы людей устанавливают Telegram именно со сторонних источников - из-за блокировок, из-за желания получить старую версию или просто по незнанию. Установка модифицированного клиента означает, что все переписки, контакты и медиафайлы могут оказаться в руках неизвестной группы. Класс DataCollector собирает не только логин и пароль, а гораздо более чувствительные данные: геолокацию, список контактов, содержимое галереи. В перспективе такой сбор может быть использован для шпионажа, кражи аккаунтов или даже вымогательства.

С точки зрения профессионального анализа, данная атака использует классический вектор - подмена легитимного приложения вредоносным аналогом без изменения внешнего вида. Технически это реализовано через инъекцию собственного класса в оригинальный код и переподписание файла. Методы сбора данных встроены в стандартные обработчики событий, поэтому срабатывают незаметно для пользователя. Отсутствие детектирования на большинстве антивирусов объясняется тем, что сигнатуры ещё не попали в базы. Это типичная ситуация для свежих модификаций.

Прежде всего, загружать Telegram и любые другие мессенджеры только из официального магазина Google Play или с сайта разработчика. При установке стоит обращать внимание на цифровую подпись: в свойствах APK можно проверить отпечаток сертификата. Для Android также полезно включить проверку приложений через Play Защиту - она хотя бы частично блокирует сомнительные сборки. Если вы уже использовали версию с APKPure, стоит немедленно удалить её, сменить пароль и проверить устройство на вредоносное ПО с помощью надёжного антивируса.

В конечном счёте ситуация с APKPure ещё раз напоминает: даже популярные сторонние магазины не гарантируют чистоту кода. Разработчики часто не проверяют каждую сборку вручную, а злоумышленники этим пользуются. Telegram как один из самых популярных мессенджеров регулярно становится мишенью для таких подделок. Остаётся надеяться, что пользователи внимательнее отнесутся к источникам установки и не будут рисковать своими данными ради сомнительного удобства.