Рассказывая о клонах Telegram, которые опаснее приложения MAX, мы не упомянули APK-файлы мессенджера Павла Дурова. А они тоже могут представлять угрозу. Так, Telegram из магазина APKPure оказался не тем, чем кажется. Исследователь информационной безопасности Эрик Паркер обнаружил в этой сборке подозрительный код, который собирает данные пользователя и отправляет их на сторонний сервер. Если вы когда-либо скачивали Telegram не из Google Play и не с официального сайта, эта история — повод проверить, откуда именно взялся ваш мессенджер.

Не стоит переживать о MAX, если не знаешь, чем может быть опасен Telegram. Фото.

Не стоит переживать о MAX, если не знаешь, чем может быть опасен Telegram

Что нашли в коде Telegram из APKPure

Версия мессенджера, доступная в стороннем магазине APKPure, подписана не ключом Telegram и содержит класс, который отправляет на сторонний сервер номер телефона, профиль и файлы с устройства. При декомпиляции APK-файла в коде обнаруживается класс DataCollector, которого нет в логике обычного мессенджера, а также прописанный прямо в коде адрес сервера, расположенного, по данным проверки IP, в Гонконге.

Подписывайся на AndroidInsider в Telegram

Если проще: кто-то взял настоящий Telegram, добавил в него шпионский модуль, переподписал своим ключом и выложил в APKPure под видом оригинала. Класс DataCollector содержит методы отправки на сторонний сервер номера телефона и профиля пользователя, а также сбора изображений и видео из галереи, документов с устройства и данных SIM-карты.

APKPure уверяет, что Telegram настоящий. Фото.

APKPure уверяет, что Telegram настоящий

Модифицированный код интегрирован непосредственно в рабочие процессы приложения и активируется сразу после того, как жертва авторизуется в своём аккаунте. То есть пользователь просто входит в Telegram как обычно, а в фоне уже начинается выгрузка данных.

Проверка APK Telegram на вирусы

На сервисе VirusTotal файл на момент проверки детектировал лишь один антивирус из 56, то есть массово угрозу защитные системы пока не подтверждают. Это может объясняться тем, что сборка свежая и сигнатуры ещё не обновлены. Проще говоря, антивирусные базы обновляются с задержкой, и новая угроза может какое-то время оставаться невидимой для сканеров.

Сообщается, что Telegram из APKPure подписан чужим ключом. Источник: kod.ru. Фото.

Сообщается, что Telegram из APKPure подписан чужим ключом. Источник: kod.ru

При этом Паркер отмечает, что в официальном стабильном клиенте Telegram класса DataCollector он не нашёл. Редакция «Кода Дурова» также выявила, что Telegram из APKPure применяет иную цифровую подпись, чем клиент, загруженный с официального сайта мессенджера. Поскольку пересобрать и переподписать приложение чужим ключом невозможно без вмешательства в исходный APK, расхождение подписи прямо указывает: сборка с APKPure модифицирована и выпущена не Telegram.

Безопасно ли скачивать приложения через APKPure

Это не первый случай, когда к этому магазину возникают серьёзные вопросы. В 2021 году специалисты «Лаборатории Касперского» и Dr.Web выявили вредоносный код в самом магазине приложений APKPure, а именно троян Triada, который умел показывать рекламу и подгружать на устройство сторонние модули. Тогда APKPure выпустила исправленную версию, но осадок, что называется, остался.

К APKPure стоит относиться с настороженностью. Фото.

К APKPure стоит относиться с настороженностью

Спустя четыре года пользователи обвинили APKPure и другие сторонние площадки в распространении скомпрометированных клиентов Telegram X с бэкдором. Цифровая подпись сборок отличалась от официальной. Схема каждый раз одна и та же: под видом оригинала раздаётся переподписанная сборка с вредоносными вставками. О самом магазине приложений APKPure можно узнать в отдельном материале.

Что делать, если скачал Telegram из APKPure

Эта история касается всех, кто скачивает Android-приложения не из Google Play или с официальных сайтов разработчиков. В России, где Google Play работает с ограничениями, сторонние магазины вроде APKPure популярны. Многие используют их, чтобы установить приложения, недоступные в RuStore или на других площадках. Но именно эта привычка создаёт риск.

❗ Поделись своим мнением или задай вопрос в нашем телеграм-чате

Вот что стоит сделать прямо сейчас:

  • Проверьте, откуда установлен ваш Telegram. Зайдите в настройки Android, найдите Telegram в списке приложений и посмотрите источник установки.
  • Если Telegram скачан из APKPure, удалите его и установите заново с официального сайта telegram.org или из Google Play.
  • Не доверяйте сторонним магазинам, даже если раньше с ними не было проблем. Это классическая атака на цепочку поставок: не нужен фишинг, достаточно скомпрометированного источника загрузки.
  • Обращайте внимание на разрешения приложений. Если мессенджер при установке запрашивает доступ к файлам, камере и контактам, а вы раньше этого не замечали, это повод насторожиться.

Где безопасно скачать Telegram на Android

Важно понимать: проблема не в самом Telegram, а в том, откуда его скачали. Официальная версия мессенджера не содержит подозрительного кода, что подтвердил и сам исследователь. Угроза нацелена на пользователей, которые устанавливают APK-файлы из сторонних источников ради раннего доступа к обновлениям или в регионах с ограничениями Google Play.

Скачивайте Telegram через Google Play или с официального сайта. Фото.

Скачивайте Telegram через Google Play или с официального сайта

Самый надёжный способ получить Telegram на Android — скачать его с telegram.org или из Google Play. Если Google Play недоступен, используйте прямую ссылку с сайта разработчика. Сторонний магазин не может гарантировать, что выложенная в нём сборка идентична оригиналу, и случай с APKPure — очередное тому подтверждение.