В Telegram со стороннего магазина APKPure нашли подозрительный код сбора данных

Игорь Савкин — 24.05.2026

Исследователь информационной безопасности Эрик Паркер обратил внимание на то, что сторонний Android-магазин приложений APKPure распространяет модифицированную версию Telegram под видом официальной.

Версия мессенджера, доступная в стороннем магазине APKPure, подписана не ключом Telegram и содержит класс, который отправляет на сторонний сервер номер телефона, профиль и файлы с устройства.

При декомпиляции APK-файла в коде обнаруживается класс DataCollector, которого нет в логике обычного мессенджера, а также прописанный прямо в коде адрес сервера, расположенного, по данным проверки IP, в Гонконге.

Что нашли в коде

Класс DataCollector содержит методы отправки на сторонний сервер номера телефона и профиля пользователя, а также сбора изображений и видео из галереи, документов с устройства и данных SIM-карты.

Вызовы этих методов встроены в рабочие участки приложения — в частности, они срабатывают при входе пользователя в аккаунт. В коде прописаны эндпоинты с характерными названиями вроде /api/collect и /api/collect_batch — такая схема типична для приложений, скрытно выгружающих данные.

Редакция «Кода Дурова» также проверила APK с APKPure и обнаружила, что оно использует другую цифровую подпись. Сборка с APKPure (версия 12.6.5) подписана сертификатом с отпечатком, который не совпадает с отпечатком сертификата официального клиента, загруженного с сайта telegram.org. Поскольку пересобрать и переподписать приложение чужим ключом невозможно без вмешательства в исходный APK, расхождение подписи прямо указывает: сборка с APKPure модифицирована и выпущена не Telegram.

При этом на сервисе VirusTotal файл на момент проверки детектировал лишь один антивирус из 56 — массово угрозу защитные системы пока не подтверждают. Это может объясняться тем, что сборка свежая и сигнатуры ещё не обновлены. Сам Паркер отмечает, что в официальном стабильном клиенте Telegram класса DataCollector он не нашёл.

Это не первый случай, когда к APKPure возникают вопросы по части безопасности. В 2021 году исследователи «Лаборатории Касперского» и Dr.Web обнаружили вредоносный код прямо в самом приложении магазина — троян семейства Triada, который мог показывать рекламу и подгружать на устройство сторонние модули; APKPure тогда выпустила исправленную версию. В 2025 году сообщалось, что через APKPure и ряд других сторонних площадок распространялись скомпрометированные сборки Telegram X с бэкдором — их раздавали под именем официального разработчика, хотя цифровая подпись отличалась от настоящей.