Hack Time, Хабр!
На днях мне на глаза попалось громкое расследование Dmytro Tarasenko (он же iTaysonLab).
Именно он провёл декомпиляцию APK нового приложения "Telega", выявил связи с инфраструктурой VK, Catogram и сделал публичную публикацию подробностей на Telegram-канале BruhCollective.
Коллеги вскрыли множество тревожных фактов, но мне, как любителю копаться в кишках приложений, захотелось пойти дальше, подтвердить их находки и найти то, что ускользнуло от динамического анализа.
Я решил провести полный статический анализ APK, выполнив деобфускацию кода, чтобы
составить максимально полную и технически подкрепленную картину.
Что же на самом деле скрывается за обещаниями «улучшенного» Telegram?
Давайте посмотрим.
Спойлер: небезопасно, неконфиденциально, но чертовски интересно. Поехали!
Глава 1: Инструменты наготове. Первое вскрытие
Для начала — стандартный набор любого уважающего себя реверсера:
apktool: для распаковки ресурсов иAndroidManifest.xml.jadx: для декомпиляции DEX-файлов в Java-код.strings,nm,grepи прямые руки.
Распаковываем нашего пациента:
apktool d Telega-1.11.3-TG-12.0.1.apk
jadx -d jadx_output Telega-1.11.3-TG-12.0.1.apkПервый же взгляд на декомпилированный код вызвал легкую ухмылку.
Практически весь код приложения, за исключением стандартных библиотек, прошел через R8 — стандартный обфускатор для Android.
Это было не просто сжатие кода, а намеренное и тотальное запутывание следов, превратившее код в нечитаемую кашу из бессмысленных имен.
Разработчики явно что-то прятали. Вызов был принят.
После нескольких часов работы c утилитами для деобфускации, удалось восстановить около 92% исходных имен, и только тогда картина стала проясняться.
Глава 2: Большой Брат из VK. Здравствуй, myTracker!
Первым делом в любом приложении я ищу трекеры. Простой поиск по ключевому слову tracker дал более 10 000 совпадений.
Главным героем оказался com.my.tracker.MyTracker — официальный «паразит» от VK.
Вся логика работы с ним была аккуратно вынесена в класс-обертку ru.dahl.messenger.utils.Tracker.java.
Заглянув внутрь, я понял масштаб трагедии. Приложение отслеживает практически всё:
Полный цикл аутентификации: от ввода номера телефона (
auth_phone_submit) до успешного логина (auth_success).Выдачу разрешений: Особый интерес вызывает
auth_call_log_permission_grant. Да, они хотят знать, дали ли вы доступ к журналу звонков.Использование прокси: Каждое действие, связанное с прокси, отправляется на сервер.
Привязка к личности: Чтобы аналитика не была анонимной, трекеру явно скармливают ID пользователя:
MyTracker.setCustomUserId(id).
К каждому событию любезно прикрепляется параметр vpn_enabled. Они хотят быть уверены, что знают о вас всё, даже если вы пытаетесь это скрыть.
Глава 3: «Бесплатный» сыр. Разбираем прокси-мышеловку
Теперь к главному блюду. Как устроен «безопасный» прокси?
API для получения списка серверов находится на https://api.telega.info/v1/auth/proxy.
Настройки прокси применяются через нативную библиотеку libtmessages.49.so и C++ функцию ConnectionsManager::setProxySettings.
Это значит, что прокси настраивается на низком уровне, в обход стандартных Android API, и весь трафик приложения заворачивается через сервера владельцев сервиса.
Ни о какой анонимности и безопасности здесь и речи быть не может.
Глава 4: Звонки через «Одноклассников» и другие «сюрпризы»
Пока мы вели наше исследование, коллеги по цеху тоже не дремали.
Отдельный респект экс-разработчику Telegram Dmytro Tarasenko (iTaysonLab/vkryl) и автору denis-19 на Хабре, чьи находки мы смогли подтвердить и дополнить.
-
Звонки через OK.ru: В классе
ru.dahl.messenger.Extraмы нашли константу:public static final String CALLS_BASE_URL = "https://calls.okcdn.ru/";Это прямое доказательство, что VoIP-звонки в приложении маршрутизируются через сервера «Одноклассников» (еще один актив VK Group).
-
Централизованная авторизация: В коде
UserRepositoryзашито имя бота@dahl_auth_bot.Это подтверждает, что для авторизации используется бот, который может собирать метаданные о пользователе в момент входа.
-
Скрытая цензура: В ресурсах приложения мы нашли строку:
"Материал недоступен в связи с нарушениями правил платформы"
Это заготовка для механизма черного списка, позволяющего владельцам по своему усмотрению блокировать любой контент.
Глава 5: Действующие лица и нестыковки
Коллеги раскопали и бэкграунд проекта. Основатели — Фанис Садыков и Александр Смирнов, ранее связанные с проектом VK Group Movika Studio. Сами они утверждают, что продали стартап VK год назад, а сейчас просто «используют публично доступные технологии VK на коммерческих условиях».
Однако это заявление не выдерживает критики. Исследователи указывают, что используемые эндпоинты вроде dal.mvk.com являются внутренними доменами VK, а не частью публичного облака VK Cloud. Это говорит о прямой и глубокой интеграции, а не о простом использовании публичного API.
Глава 6: Разведка на местности и позорная «Тильда»
Ради интереса мы взглянули и на их сайт telega.me. Утилита wafw00f показала, что сайт сидит за файрволом от DDoS-GUARD.
Но самое смешное открылось в HTTP-заголовках: x-tilda-server.
Весь их модный сайт — это конструктор Tilda!
Как будто на спорткар прикрутили колеса от телеги. Становится понятно, почему они не стали вкладываться в сайт — это просто красивая витрина для затягивания пользователей в приложение-пылесос.
Эпилог: Вишенка на торте — mt_click_id
Финальным штрихом стал параметр ?mt_click_id=... в URL сайта разработчика. Который присваиваеться автоматически каждому.
Префикс mt_ — это фирменная метка MyTracker.
Это click ID, который используется для сквозного отслеживания пользователя по всей воронке: Рекламный клик - Переход на сайт - Установка приложения.
Это замыкает круг слежки и доказывает, что вся экосистема «Телеги» построена вокруг сбора данных.
Финальный вердикт
«Telega» — это не просто очередной мессенджер. Это комбайн по сбору пользовательских данных для VK, который к тому же содержит в себе заготовки для цензуры, а его официальные заявления не выдерживают критики и опровергаются техническими фактами.
Приватность: Отсутствует как класс. Приложение собирает огромный пласт данных о ваших действиях и отправляет его в VK, привязав к вашему ID.
Безопасность: Функция «бесплатного прокси» является централизованной и полностью контролируемой владельцами. Использование этой функции равносильно добровольной передаче всего своего трафика третьим лицам.
Честность: Разработчики вводят пользователей в заблуждение относительно своей независимости от VK
На этом все. Будьте бдительны и не доверяйте бесплатному сыру. Код не лжет.
Комментарии (69)
0mogol0
23.10.2025 13:21интересно, а если разобрать сам официальный телеграм, чего из найденного там не будет?
Grey83
23.10.2025 13:21официальный телеграм выложен в виде исходного кода на гитхабе и из него вроде (никогда apk из исходников не собирал и даже не особо знаю как это делать) даже можно собрать apk
4kirill20
23.10.2025 13:21На гите фронт, бек закрытый же
Moog_Prodigy
23.10.2025 13:21Так это именно фронт собирает все локальное, а бек закрыт и у тех и у других.
Grey83
23.10.2025 13:21а где в статье разбор бэка?
FSA
23.10.2025 13:21А чего там разбирать? Когда ты пользуешься клиентом Телеграма - данные улетают на серверы Телеграма. Когда ты ставишь это поделие, то данные улетают на серверы Телеграма и куча данных с привязкой к конкретному экземпляру приложения на серверы ВК.
kifirnyuk
23.10.2025 13:21Простой беглый поиск ничего не выдал. Либо никто не копал, либо результаты закопали ещё глубже :-)
Rub_paul
23.10.2025 13:21Конечно в официальном телеграме тоже есть своя телеметрия, но она по крайней мере отправляется владельцу сервиса, которым вы пользуетесь, а здесь ваши данные из одного мессенджера утекают в совершенно другую компанию, которая к этому мессенджеру не имеет никакого отношения. Это принципиально иной уровень нарушения приватности
freeExec
23.10.2025 13:21А как происходит деобфускация, там же имена переменным просто по порядку выдают для замены?
VADemon
23.10.2025 13:21Сопоставление с оригинальным компилированным кодом должно хорошо работать.
freeExec
23.10.2025 13:21Не понял, что такое "оригинальным компилированным кодом"? У нас есть не обфусцированный код, тогда зачем мы занимаемся деобфускацией?
VADemon
23.10.2025 13:21Telegram open source -> компиляция -> .class файлы, необфусцированный байт-код
Telega (патчи + Telegram open source) -> компиляция -> обфускация -> .class файлы, обфусцированный байт-код
Сравнивая оба артефакта можно по структуре кода сопоставить классы между (1) и (2). Для совпадений подтягиваем оригинальные имена из (1). Таким образом, остается только неизвестная часть, которую изменяли для клиента Telega.
На самом деле еще коряво будут отображаться константы из-за инлайна и т.п., и лямбды (они вытягиваются компилятором в псевдоклассы). Остальные сложности лягут на инструментарий.
zamir__zakiev
23.10.2025 13:21Kotlin оставляет в байт-коде довольно много метаданных по умолчанию, из них можно восстановить.
SadOcean
23.10.2025 13:21Присоединяюсь к вопросу, как минимум внутренние имена должны стать нечитаемыми, только часть биндингов можно достать из метаданных (сериализация к примеру)
А еще есть исходники телеграма, часть модулей можно сравнить с ними
konst90
23.10.2025 13:21Там все понятно уже при клике на рекламу. Открывается ссылка trk.mail.ru, и только потом происходит переход на Гугл-плей.
Kenya-West
23.10.2025 13:21Справедливости ради, это звоночек, но не прямое доказалово. Чел просто мог юзать общедоступную платформу VK Ads.
Мимо юзер VK Ads (да, ем с лопаты).
kukovik
23.10.2025 13:21Там все понятно по тексту рекламы. Не в том смысле, что видно, что это ВК, но все равно желания кликать не возникает.
aik
23.10.2025 13:21"Материал недоступен в связи с нарушениями правил платформы"
А в самом телеграме ничего подобного нет?
Впрочем, когда что-то рекламируют из всех утюгов, то это уже выглядит подозрительно.
Вон, мах к примеру. Очень подозрительный.
iNomad
23.10.2025 13:21MAX честно заявляется как под крышой товарища майора, и следовательно гарантией от мошенников))
aik
23.10.2025 13:21Я мах пробовал поставить, так он админских прав потребовал. В то время как другие месенджеры спокойно в профиль пользователя ставятся. Так что пока нафиг
Grey83
23.10.2025 13:21он админских прав потребовал
? О_о
aik
23.10.2025 13:21Ну он в program files ставиться захотел. И сервис какой-то системный запустить.
Grey83
23.10.2025 13:21Если версия для ПК, то многие установщики можно открыть как простой архив с помощью 7zip и пользоваться файлами оттуда как обчной портабельной версией.
Не везде прокатывает, правда, но попытка - не пытка.Ну и в папку
Program Files(или вProgram Files (x86), если прога 32-битная, а система 64-битная) устанавливаются все нормальные проги.
muxa_ru
23.10.2025 13:21Приватность: Отсутствует как класс. Приложение собирает огромный пласт данных о ваших действиях и отправляет его в VK, привязав к вашему ID.
Безопасность: Функция «бесплатного прокси» является централизованной и полностью контролируемой владельцами. Использование этой функции равносильно добровольной передаче всего своего трафика третьим лицам.
Это ведь просто текущий отраслевой стандарт, разве нет?
Kenya-West
23.10.2025 13:21Бойся товарища майора, в твою юрисдикцию входящего! В этом суть.
muxa_ru
23.10.2025 13:21Бойся товарища майора, в твою юрисдикцию входящего! В этом суть.
Товарищи майоры из США и ЕС считают свои законы экстерриториальными, так что, Вы как раз таки в их юрисдикции.
Zombieff
23.10.2025 13:21То-то я смотрю, Сноудена каждый день экстрадируют.
muxa_ru
23.10.2025 13:21Вас Сноуден не должен смущать.
Вам больше должно быть важно то, что, если Вы живёте в России, и сделаете в России что-то что они там сочтут нарушением их законов, то они могут либо начать отключать Вас от компаний, которые предоставляют Вам услуги, либо, если Вы захотите выехать за пределы России, подать запрос на выдачу.
Фиг его знает, что тамошним товарищам майорам в голову придёт.
Помните все эти истории про то, как СМИ в США закрывались от пользователей из ЕС и Великобритании, когда там принимали разные законы о защите прав своих жителей? Потому что нафиг им были не нужны эти разборки с европейскими майорами. Кто-то потом открылся, а кто-то там и продолжает блочить европейцев, ибо нефиг.
venanen
23.10.2025 13:21Время сейчас такое, что нет четкого понимания, что вот эти честные и добрые, а те злые и подлые. Я совершенно уверен, что ЦРУ и АНБ вертит законы и международное право (хехе) так же, как и другие спецслужбы.
Поэтому мы можем оперировать только вероятностями. А вероятность того, что АНБ будет требовать экстрадицию за нелестный комментарий о чем-бы то не было - близка к нулю, но даже если и случится, то нужно еще выехать из страны, и приехать в страну, которая ордер исполнит, что еще ниже роняет вероятность.
Имхо, пользоваться нужно мессенджерами других, в идеале, враждебных государств. То есть условным американцам для анонимности как раз подойдет макс, потому что ФСБ плевать на американцев. А нам - Сигнал, например. Хотя и те и те, имхо, сливают данные в потоковом режиме.
reyglan
23.10.2025 13:21Не в полной мере соглашусь. Лучше не враждебного гос-ва, а нейтрального, т.к. враждебное, через свой сервис на вашем устройстве, может собрать разведданные - скрытые фото, геолокация и т.д., и использовать в своих целях, а потом за это уже наш товарищ майор придет. Погулял по заводу с мобилой с инетом и прочим - а потом туда дрон прилетит, тогда, когда меньше всего ожидают, исходя из твоих и твоих коллег активностей на координатах
Да, нейтральные тоже собирают, но они врят ли будут использовать, а соответственно и не придет наш майор по этому вопросу. Как то так .-.
dev-gvs
23.10.2025 13:21Это было не просто сжатие кода, а намеренное и тотальное запутывание следов, превратившее код в нечитаемую кашу из бессмысленных имен. Разработчики явно что-то прятали
Вы прикалываетесь, или на полном серьезе это пишете? R8 это в первую очередь для оптимизации, чтобы приложение было максимальное маленькое по размеру и быстрое.
Приложение отслеживает практически всё
Сейчас почти в любом приложение будет аналитика (Firebase, Sentry, Amplitude и т.д.), где каждое действие логируется. Это сделано чтобы продакты строили красивые графики, для отслеживания как та или иная фича влияет на конверсию, ну еще для воспроизведения багов удобно. И да, каждое событие стараются максимально обогатить, так как все это может пригодиться.
Ни в коем случае не защищаю эту поделку, но складывается впечатление, что вы далеки от коммерческой разработки приложений и делаете поспешные выводы о каких-то связях и тайных заговоров.
Robastik
23.10.2025 13:21поспешные выводы о каких-то связях и тайных заговоров
Интересно, все эти ученые, писатели и прочая интеллигенция, которая внезапно обнаружила себя врагами народа, тоже так думала до последнего момента? А которые посажены за частные разговоры тет-а-тет?
microtheft
23.10.2025 13:21тоже так думала до последнего момента?
Вот Вы себя кем сейчас ощущаете и как думаете? :-)
edolganov
23.10.2025 13:21Что я узнал из статьи:
Создатели используют "стандартный обфускатор для Android" (я так понимаю, так делают очень многие?)
Создатели используют трекеры (я так понимаю, так делают ооооочень многие?)
Создатели не пытались написать свою инфраструктуру для звонков, а взяли что-то готовое у других (вот это да! Неужели так делают?)
Лендинг сайт приложения создан на конструкторе лендинг сайтов (это просто вершина коварства с их стороны!)
konst90
23.10.2025 13:210. Создатели аффилированы с VK/Mail, а те - с товарищем майором. Соответственно, все собранные данные будут доступны и ему.
Kurochkin
23.10.2025 13:21Лично у меня складывается впечатление, что если продукт не аффилирован, то это только пока он мало кому интересен - т.е. пока тов.майор не проявит бдительность, сообщив тов.генералу.
Kenya-West
23.10.2025 13:21С этим понятно, согласен;
Почему именно ВК, а не что-то менее приблатованное к российскому тов. майору? Звоночек;
Ага, готовая бесплатная инфраструктура от ТГ почему-то им помешала. Unigram, например, она не помешала, а им помешала. Ну и, камон, там же внутренние ресурсы вкшного CDN используются, простым смертным недоступные. Челики явно не последние люди у маилру за пазухой;
И трекеры от ВК. Везде ВК, ВК, ВК. Всё это вместе однозначно указывает, что разработчики чьих надо разработчики, своим всё - остальным мессенджер Telega.
aik
23.10.2025 13:21Ну если им звонить в России надо, то надо внутреннюю какую-то службу для звонков выбирать. Телеграмную-то банят
Zombieff
23.10.2025 13:21Создатели не пытались написать свою инфраструктуру для звонков, а взяли что-то готовое у других
Готовое там уже было. Звонки в Телеграме отлично работали, но потом их запретили, якобы чтоб от мошенников оградить. А тут, внезапно, у нас есть альтернативная реализация через
нашисервера у того, у кого уже готово, пользуйтесь!
iamkisly
23.10.2025 13:21Чертовски манипулятивная подача материала, местами истеричная. Могли бы просто написать "гоните его, насмехайтесь над ним". Особенно это чувствуется тут
Весь их модный сайт — это конструктор Tilda!
Срыв покровов! Разработчики решили не вкладываться в лендинг для MVP! Давайте их за это распнем!!!
Единственный вопрос тут к использованию ресурсов ВК. Не считаю их абсолютным злом, потому что в нашей стране не так много технологических гигантов, и мне абсолютно наплевать на какие деньги развиваются относительно "отечественные" продукты. Поэтому вне зависимости от того, кем она была сделана, я вижу "telega" просто как кривой MVP, который был сделан в авральном режиме из говна и палок на знакомой инфраструктуре.
dallas4pm
23.10.2025 13:21«Telega» — это не просто очередной мессенджер. Это комбайн по сбору пользовательских данных для VK,
когдя я вижу очередное
Х - это не просто Y, X - это Z
рука сама тянется к минусу, неважно что это может быть полезно, хотя с учетом хайпа очередная попытка срубить лайкосиков по быстрому, что по сути сработало
какое то рандомное тело украло чужой труд и прогнав через ии высрало слоп срубив себе репу.
Aggle
23.10.2025 13:21когдя я вижу очередноеХ - это не просто Y, X - это Z
"Мама, папа, я сегодня в школе узнал, что пися - это не пися, а уй!"
Stersh
23.10.2025 13:21Коллеги вскрыли множество тревожных фактов, но мне, как любителю копаться в кишках приложений, захотелось пойти дальше, подтвердить их находки и найти то, что ускользнуло от динамического анализа.
Так и что нашли то? В вами же упомянутом телеграм канале все тоже самое описано, причем более детально и с ответами от PR отдела Telega.
Dasha-hunter
23.10.2025 13:21А объясните простому обывателю, в итоге-то что лучше использовать для звонков, если все заблокировано, а что разблокировано, то принадлежит Большому Брату?
Rub_paul
23.10.2025 13:21Особенно умиляет попытка разработчиков откреститься от VK - "используем публично доступные технологии на коммерческих условиях", а потом выясняется, что эндпоинты внутренние, а звонки идут через Одноклассников.
Это даже не ложь, это какое-то детское вранье в надежде, что никто не полезет под капот
Spyman
23.10.2025 13:21намеренное и тотальное запутывание следов, превратившее код в нечитаемую кашу из бессмысленных имен.
Разработчики явно что-то прятали.
Я конечно все понимаю, наловить себе плюсов на волне всеобщего хейта хочется, но вот это - не просто подлог, а грязное манипулирование фактами уровня ведущих с первого канала или кликбейтных заголовков. После такого, все остальное в статье даже воспринимать в серьез невозможно.
За 10 лет коммерческой разработки под Андроид не было ни одного коммерческого проекта, в котором R8 или его старый аналог ProGuard не был включен в релизной сборке (да он по умолчанию там включен). Это просто стандартный подход к не "намеренное тотальное запутывание следов". Более того, иногда даже opensource проекты его включали т.к. нет минусов у такого подхода, а плюсом могут идти небольшие оптимизации - не знаю как за r8, но proguard в том числе вырезал неиспользуемые функции и классы.
seriouskaktus
23.10.2025 13:21
Сразу стало понятно, кому оно пренадлежит. Даже код копать не пришлось :)
SeveR31
Спасибо за разбор. Буквально месяц назад эта "Телега" начала торчать в рекламе Telegram буквально каждый второй пост и у меня был вопрос, как они хотят разрешать звонки и доступы без в*н в обход РКН. Уже тогда закрались подозрения. что это какая-то аффилированная с госухой компания, но после того, как я увидел буквы "ВК", все вопросы резко отпали)))).
Надеюсь ещё сделают православный "Ватс ап" для бабушек с бизнесом и исконно скрепный "Диск
оурс" для связи в онлайн играх со входом только по гос услугам.Rub_paul
Если что то выглядит слишком хорошо, чтобы быть правдой (звонки работают, когда у всех не работают), значит где-то есть подвох. И этот подвох как правило заключается в том, что трафик идет не туда - в данном случае прямиком в объятия VK