В Android-сборке Telegram обнаружен шпионский троян
NewsMakerФайл пометили как доверенный, хотя песочница зафиксировала вредоносную активность.
Каталог приложений APKPure предлагает пользователям Android установить Telegram 12.6.5 с отметкой «Trusted App» и заверением об отсутствии вирусов и шпионского ПО. Проверка файла показала тревожное расхождение: цифровая подпись APK не совпадает с подписью проверенных сборок Telegram, а запущенное в песочнице приложение связалось с неизвестным сервером в Гонконге.
На подозрительную сборку 24 мая обратил внимание исследователь безопасности Эрик Паркер. По словам Паркера, APKPure распространял модифицированный Telegram, который передавал переписки на сервер с гонконгским IP-адресом. Публичные отчёты подтверждают подозрительный файл и сетевое соединение, но пока не показывают содержимое отправленных данных, поэтому заявление о передаче всех сообщений остаётся утверждением исследователя, а не доказанным фактом.
Страница APKPure для Telegram 12.6.5 указывает, что приложение выпустила Telegram FZ-LLC 9 мая 2026 года. Файл размером 47,8 МБ имеет SHA-256
Размещённая на том же сайте версия Telegram 12.7.3 подписана уже другим сертификатом:
Файл с APKPure попал в базу вредоносных образцов MalwareBazaar под именем
Песочница ANY.RUN запустила тот же APK на Android 14 и присвоила образцу вердикт
Инцидент показывает риск установки мессенджеров из сторонних каталогов даже при наличии отметок о безопасности. Пользователям, которые устанавливали Telegram 12.6.5 из APKPure, следует удалить подозрительную сборку, установить приложение из доверенного источника, проверить активные сеансы в настройках Telegram, завершить незнакомые подключения и включить двухэтапную проверку входа.
Каталог приложений APKPure предлагает пользователям Android установить Telegram 12.6.5 с отметкой «Trusted App» и заверением об отсутствии вирусов и шпионского ПО. Проверка файла показала тревожное расхождение: цифровая подпись APK не совпадает с подписью проверенных сборок Telegram, а запущенное в песочнице приложение связалось с неизвестным сервером в Гонконге.
На подозрительную сборку 24 мая обратил внимание исследователь безопасности Эрик Паркер. По словам Паркера, APKPure распространял модифицированный Telegram, который передавал переписки на сервер с гонконгским IP-адресом. Публичные отчёты подтверждают подозрительный файл и сетевое соединение, но пока не показывают содержимое отправленных данных, поэтому заявление о передаче всех сообщений остаётся утверждением исследователя, а не доказанным фактом.
Страница APKPure для Telegram 12.6.5 указывает, что приложение выпустила Telegram FZ-LLC 9 мая 2026 года. Файл размером 47,8 МБ имеет SHA-256
7d44e0009d251ae4983f5bf29f7d8aa9af668df88dba05a17a7a314f6780ceff и подпись 17eb76bfc3614c90068e8e5d45691ecf4f2c71a9. Каталог при этом отмечает сборку как проверенную и пишет, что в приложении нет вирусов, вредоносного кода и шпионских функций. Размещённая на том же сайте версия Telegram 12.7.3 подписана уже другим сертификатом:
9723e5838612e9c7c08ca2c6573b6026d7a51f8f. APKPure показывает ту же подпись для более ранних проверенных выпусков мессенджера. Для Android такая разница имеет принципиальное значение: приложение с другим ключом подписи не относится к обычной цепочке обновлений официальной сборки и не должно заменять установленный из доверенного источника Telegram. Файл с APKPure попал в базу вредоносных образцов MalwareBazaar под именем
Telegram_12.6.5_APKPure.apk. Хеши файла в базе полностью совпадают с данными на странице APKPure. Исследователь пометил образец тегами FakeTelegram и spyware, а сервис FileScan.IO присвоил APK вердикт Likely Malicious с уровнем угрозы 7,5 из 10. MalwareBazaar предупреждает, что само появление файла в базе ещё не доказывает вредоносность, однако дополнительные результаты анализа усиливают подозрения. Песочница ANY.RUN запустила тот же APK на Android 14 и присвоила образцу вердикт
Malicious activity. Во время анализа процесс org.telegram.messenger отправил запрос на адрес 38.190.225.166 в Гонконге по пути /api/apk/latest?lang=en. Сервер не относится к видимой инфраструктуре Telegram в отчёте песочницы. Анализ также зафиксировал действия приложения в системе, но опубликованные данные не позволяют утверждать, что в сетевой запрос попали переписки пользователей. Инцидент показывает риск установки мессенджеров из сторонних каталогов даже при наличии отметок о безопасности. Пользователям, которые устанавливали Telegram 12.6.5 из APKPure, следует удалить подозрительную сборку, установить приложение из доверенного источника, проверить активные сеансы в настройках Telegram, завершить незнакомые подключения и включить двухэтапную проверку входа.