- 26,983
- 46
- 8 Ноя 2022
Файл пометили как доверенный, хотя песочница зафиксировала вредоносную активность.
Каталог приложений APKPure предлагает пользователям Android установить Telegram 12.6.5 с отметкой «Trusted App» и заверением об отсутствии вирусов и шпионского ПО. Проверка файла показала тревожное расхождение: цифровая подпись APK не совпадает с подписью проверенных сборок Telegram, а запущенное в песочнице приложение связалось с неизвестным сервером в Гонконге.
На подозрительную сборку 24 мая обратил внимание исследователь безопасности Эрик Паркер. По словам Паркера, APKPure распространял модифицированный Telegram, который передавал переписки на сервер с гонконгским IP-адресом. Публичные отчёты подтверждают подозрительный файл и сетевое соединение, но пока не показывают содержимое отправленных данных, поэтому заявление о передаче всех сообщений остаётся утверждением исследователя, а не доказанным фактом.
Страница APKPure для Telegram 12.6.5 указывает, что приложение выпустила Telegram FZ-LLC 9 мая 2026 года. Файл размером 47,8 МБ имеет SHA-256 <code>7d44e0009d251ae4983f5bf29f7d8aa9af668df88dba05a17a7a314f6780ceff</code> и подпись <code>17eb76bfc3614c90068e8e5d45691ecf4f2c71a9</code>. Каталог при этом отмечает сборку как проверенную и пишет, что в приложении нет вирусов, вредоносного кода и шпионских функций.
Размещённая на том же сайте версия Telegram 12.7.3 подписана уже другим сертификатом: <code>9723e5838612e9c7c08ca2c6573b6026d7a51f8f</code>. APKPure показывает ту же подпись для более ранних проверенных выпусков мессенджера. Для Android такая разница имеет принципиальное значение: приложение с другим ключом подписи не относится к обычной цепочке обновлений официальной сборки и не должно заменять установленный из доверенного источника Telegram.
Файл с APKPure попал в базу вредоносных образцов MalwareBazaar под именем <code>Telegram_12.6.5_APKPure.apk</code>. Хеши файла в базе полностью совпадают с данными на странице APKPure. Исследователь пометил образец тегами <code>FakeTelegram</code> и <code>spyware</code>, а сервис FileScan.IO присвоил APK вердикт <code>Likely Malicious</code> с уровнем угрозы 7,5 из 10. MalwareBazaar предупреждает, что само появление файла в базе ещё не доказывает вредоносность, однако дополнительные результаты анализа усиливают подозрения.
Песочница ANY.RUN запустила тот же APK на Android 14 и присвоила образцу вердикт <code>Malicious activity</code>. Во время анализа процесс <code>org.telegram.messenger</code> отправил запрос на адрес <code>38.190.225.166</code> в Гонконге по пути <code>/api/apk/latest?lang=en</code>. Сервер не относится к видимой инфраструктуре Telegram в отчёте песочницы. Анализ также зафиксировал действия приложения в системе, но опубликованные данные не позволяют утверждать, что в сетевой запрос попали переписки пользователей.
Инцидент показывает риск установки мессенджеров из сторонних каталогов даже при наличии отметок о безопасности. Пользователям, которые устанавливали Telegram 12.6.5 из APKPure, следует удалить подозрительную сборку, установить приложение из доверенного источника, проверить активные сеансы в настройках Telegram, завершить незнакомые подключения и включить двухэтапную проверку входа.
Каталог приложений APKPure предлагает пользователям Android установить Telegram 12.6.5 с отметкой «Trusted App» и заверением об отсутствии вирусов и шпионского ПО. Проверка файла показала тревожное расхождение: цифровая подпись APK не совпадает с подписью проверенных сборок Telegram, а запущенное в песочнице приложение связалось с неизвестным сервером в Гонконге.
На подозрительную сборку 24 мая обратил внимание исследователь безопасности Эрик Паркер. По словам Паркера, APKPure распространял модифицированный Telegram, который передавал переписки на сервер с гонконгским IP-адресом. Публичные отчёты подтверждают подозрительный файл и сетевое соединение, но пока не показывают содержимое отправленных данных, поэтому заявление о передаче всех сообщений остаётся утверждением исследователя, а не доказанным фактом.
Страница APKPure для Telegram 12.6.5 указывает, что приложение выпустила Telegram FZ-LLC 9 мая 2026 года. Файл размером 47,8 МБ имеет SHA-256 <code>7d44e0009d251ae4983f5bf29f7d8aa9af668df88dba05a17a7a314f6780ceff</code> и подпись <code>17eb76bfc3614c90068e8e5d45691ecf4f2c71a9</code>. Каталог при этом отмечает сборку как проверенную и пишет, что в приложении нет вирусов, вредоносного кода и шпионских функций.
Размещённая на том же сайте версия Telegram 12.7.3 подписана уже другим сертификатом: <code>9723e5838612e9c7c08ca2c6573b6026d7a51f8f</code>. APKPure показывает ту же подпись для более ранних проверенных выпусков мессенджера. Для Android такая разница имеет принципиальное значение: приложение с другим ключом подписи не относится к обычной цепочке обновлений официальной сборки и не должно заменять установленный из доверенного источника Telegram.
Файл с APKPure попал в базу вредоносных образцов MalwareBazaar под именем <code>Telegram_12.6.5_APKPure.apk</code>. Хеши файла в базе полностью совпадают с данными на странице APKPure. Исследователь пометил образец тегами <code>FakeTelegram</code> и <code>spyware</code>, а сервис FileScan.IO присвоил APK вердикт <code>Likely Malicious</code> с уровнем угрозы 7,5 из 10. MalwareBazaar предупреждает, что само появление файла в базе ещё не доказывает вредоносность, однако дополнительные результаты анализа усиливают подозрения.
Песочница ANY.RUN запустила тот же APK на Android 14 и присвоила образцу вердикт <code>Malicious activity</code>. Во время анализа процесс <code>org.telegram.messenger</code> отправил запрос на адрес <code>38.190.225.166</code> в Гонконге по пути <code>/api/apk/latest?lang=en</code>. Сервер не относится к видимой инфраструктуре Telegram в отчёте песочницы. Анализ также зафиксировал действия приложения в системе, но опубликованные данные не позволяют утверждать, что в сетевой запрос попали переписки пользователей.
Инцидент показывает риск установки мессенджеров из сторонних каталогов даже при наличии отметок о безопасности. Пользователям, которые устанавливали Telegram 12.6.5 из APKPure, следует удалить подозрительную сборку, установить приложение из доверенного источника, проверить активные сеансы в настройках Telegram, завершить незнакомые подключения и включить двухэтапную проверку входа.
- Источник новости
- www.securitylab.ru
