В Telegram из APKPure обнаружен подозрительный сборщик данных

Сторонние магазины приложений снова дали пользователям повод для волнений. Исследователь Эрик Паркер обнаружил в клиенте Telegram от APKPure подозрительный код, который, судя по всему, делает не то, что вы ожидаете от мессенджера. Вместо обычной переписки он собирает пользовательские данные и отправляет их на сторонний сервер.

По словам Паркера, при декомпиляции APK-файла он обнаружил в приложении класс DataCollector. В обычной версии Telegram такой логики нет.

Судя по найденному коду, клиент мог отправлять на сторонний сервер номера телефонов, данные профиля, файлы с устройства, фотографии, видео, документы и информацию о SIM-карте. Код также включал адрес сервера, расположенного в Гонконге.

Самое неприятное, что вызовы методов отправки данных были встроены в рабочие области приложения и срабатывали при входе в аккаунт. То есть пользователь открывает Telegram, проходит аутентификацию, а затем где-то в фоновом режиме может начаться несанкционированный обход его данных.

Редакторы «Кода Дурова» дополнительно проверили сборку и выяснили, что Telegram из APKPure подписан другой цифровой подписью, чем официальный клиент с сайта мессенджера. И это большой красный флаг: приложение может выглядеть как Telegram, называться Telegram и даже работать как Telegram, но иметь совершенно другую сборку.

Интересный момент: при проверке через VirusTotal только один антивирус из 56 ответил на сторонний APK. Вероятно, вопрос в свежести сборки; решения безопасности просто еще не успели должным образом это распознать. При этом Паркер не обнаружил подозрительного DataCollector в официальной стабильной версии Telegram.