В магазине приложений APKPure обнаружена модифицированная версия мессенджера Telegram, которая скрытно выгружает личные данные пользователей на удаленные серверы. Утром 24 мая 2026 года независимые ИБ-эксперты подтвердили, что поддельная сборка содержит шпионский класс DataCollector для кражи фотографий, документов и информации о SIM-карте. Этот инцидент стал одним из самых масштабных случаев распространения вредоносного ПО под видом официальных сервисов связи в текущем году.
Исследователь информационной безопасности Эрик Паркер первым обратил внимание на подозрительную активность популярного клиента. В ходе анализа выяснилось, что сторонний Android-каталог APKPure распространяет дистрибутив под видом стабильного релиза, который физически не имеет отношения к оригинальной команде разработчиков.
Как работает скрытый сбор данных в модифицированном Telegram
При декомпиляции подозрительного APK-файла специалисты обнаружили программный модуль DataCollector. По словам исследователей, этот класс полностью отсутствует в логике обычного мессенджера Павла Дурова. Модифицированный код интегрирован непосредственно в рабочие процессы приложения и активируется сразу после того, как жертва авторизуется в своем аккаунте.
Класс использует специальные методы для отправки конфиденциальной информации злоумышленникам. В коде жестко прописаны эндпоинты с названиями /api/collect и /api/collect_batch, что является классическим признаком программ для скрытого хищения пользовательских данных. Проверка IP-адресов показала, что серверы управления физически расположены в Гонконге. Вирус собирает не только номер телефона и профиль жертвы, но также выгружает медиафайлы из галереи, документы из памяти смартфона и системные данные SIM-карты.
Специалисты подчеркивают, что вредоносная программа получает полный доступ к файловой системе устройства сразу после выдачи базовых разрешений при установке. Это позволяет трояну работать в фоновом режиме, не вызывая подозрений. Программа формирует скрытый пакет данных и ожидает подключения к скоростной сети для незаметной передачи на китайские серверы.
Поддельные подписи и риск сторонних каталогов
Эксперты издания «Код Дурова» провели независимую проверку сборки версии 12.6.5, загруженной из каталога APKPure. Экспертиза показала, что файл использует совершенно другую цифровую подпись. Отпечаток сертификата не совпадает с подписью официального клиента Android, который можно скачать с сайта telegram.org или из Google Play.
Поскольку переподписать программный пакет чужим ключом невозможно без прямого вмешательства в исходный код, расхождение сертификатов служит абсолютным доказательством подделки. Неизвестные хакеры взяли оригинальный дистрибутив, внедрили в него шпионские скрипты, запаковали собственным ключом и разместили на площадке от имени официального разработчика. Для проверки подлинности софта пользователям рекомендуют устанавливать программы только из доверенных источников и сверять хэш-суммы файлов.
Почему защитные системы не видят угрозу
Несмотря на агрессивное поведение кода, автоматические средства защиты пока не распознают опасность. Анализ файла на платформе VirusTotal на момент утра 24 мая показал, что угрозу детектирует лишь один сканер из 56 доступных. Аналитики связывают это с тем, что вредоносная кампания стартовала буквально несколько часов назад, поэтому сигнатуры коммерческих антивирусов просто не успели обновиться.
Классический сигнатурный анализ часто дает сбои при работе с модифицированными версиями легитимного софта. Базовый код программы остается идентичным оригинальному клиенту, из-за чего сканеры игнорируют вредоносную надстройку. В случае с настоящим мессенджером доступ к контактам и памяти действительно необходим, поэтому пользователи сами выдают зараженному дистрибутиву все системные права, что ведет к компрометации платежной информации и личных переписок.
История проблем с безопасностью в APKPure
Площадка APKPure не в первый раз становится источником массового заражения мобильных устройств. Отсутствие строгой модерации и ручного сканирования пакетов регулярно приводит к появлению вредоносных кампаний.
В 2021 году аналитики Dr.Web и «Лаборатории Касперского» находили вредоносный код, встроенный в сам клиент магазина. Троян семейства Triada проникал на устройства через рекламный модуль. «Этот компонент умеет делать несколько вещей: показывать рекламу на экране блокировки, открывать вкладки в браузере, собирать информацию об устройстве и, что самое неприятное, загружать других зловредов», — говорится в официальном блоге «Лаборатории Касперского».
Подобная ситуация наблюдалась и в 2025 году, когда через неофициальные каталоги распространялись зараженные сборки клиента Telegram X со встроенным бэкдором. Новая атака доказывает, что владельцы сторонних магазинов так и не внедрили эффективные инструменты для базовой проверки цифровых подписей загружаемого софта. Встроенная защита Google Play Protect способна блокировать известные угрозы, однако при ручной установке пакетов этот механизм часто оказывается бессилен.
Подписывайтесь на телеграм канал Digital Report, чтобы первыми узнавать о главных событиях цифровой индустрии.
- В России появился зараженный Telegram, который крадет данные - 24/05/2026 16:05
- Как играть в Roblox в России, реальная ситуация и работающие способы - 24/05/2026 14:54
- В Конго вирус Эбола убил 176 человек - 24/05/2026 14:39
