Hack Time, Хабр!

На днях мне на глаза попалось громкое расследование Dmytro Tarasenko (он же iTaysonLab).

Именно он провёл декомпиляцию APK нового приложения "Telega", выявил связи с инфраструктурой VK, Catogram и сделал публичную публикацию подробностей на Telegram-канале BruhCollective.

Коллеги вскрыли множество тревожных фактов, но мне, как любителю копаться в кишках приложений, захотелось пойти дальше, подтвердить их находки и найти то, что ускользнуло от динамического анализа.

Я решил провести полный статический анализ APK, выполнив деобфускацию кода, чтобы
составить максимально полную и технически подкрепленную картину.
Что же на самом деле скрывается за обещаниями «улучшенного» Telegram?

Давайте посмотрим.

Спойлер: небезопасно, неконфиденциально, но чертовски интересно. Поехали!

Глава 1: Инструменты наготове. Первое вскрытие

Для начала — стандартный набор любого уважающего себя реверсера:

• apktool: для распаковки ресурсов и AndroidManifest.xml.

• jadx: для декомпиляции DEX-файлов в Java-код.

• strings, nm, grep и прямые руки.

Распаковываем нашего пациента:

apktool d Telega-1.11.3-TG-12.0.1.apk
jadx -d jadx_output Telega-1.11.3-TG-12.0.1.apk

Первый же взгляд на декомпилированный код вызвал легкую ухмылку.

Практически весь код приложения, за исключением стандартных библиотек, прошел через R8 — стандартный обфускатор для Android.

Это было не просто сжатие кода, а намеренное и тотальное запутывание следов, превратившее код в нечитаемую кашу из бессмысленных имен.

Разработчики явно что-то прятали. Вызов был принят.

После нескольких часов работы c утилитами для деобфускации, удалось восстановить около 92% исходных имен, и только тогда картина стала проясняться.

Глава 2: Большой Брат из VK. Здравствуй, myTracker!

Первым делом в любом приложении я ищу трекеры. Простой поиск по ключевому слову tracker дал более 10 000 совпадений.

Главным героем оказался com.my.tracker.MyTracker — официальный «паразит» от VK.

Вся логика работы с ним была аккуратно вынесена в класс-обертку ru.dahl.messenger.utils.Tracker.java.

Заглянув внутрь, я понял масштаб трагедии. Приложение отслеживает практически всё:

• Полный цикл аутентификации: от ввода номера телефона (auth_phone_submit) до успешного логина (auth_success).

• Выдачу разрешений: Особый интерес вызывает auth_call_log_permission_grant. Да, они хотят знать, дали ли вы доступ к журналу звонков.

• Использование прокси: Каждое действие, связанное с прокси, отправляется на сервер.

• Привязка к личности: Чтобы аналитика не была анонимной, трекеру явно скармливают ID пользователя: MyTracker.setCustomUserId(id).

К каждому событию любезно прикрепляется параметр vpn_enabled. Они хотят быть уверены, что знают о вас всё, даже если вы пытаетесь это скрыть.

Глава 3: «Бесплатный» сыр. Разбираем прокси-мышеловку

Теперь к главному блюду. Как устроен «безопасный» прокси?

API для получения списка серверов находится на https://api.telega.info/v1/auth/proxy.

Настройки прокси применяются через нативную библиотеку libtmessages.49.so и C++ функцию ConnectionsManager::setProxySettings.

Это значит, что прокси настраивается на низком уровне, в обход стандартных Android API, и весь трафик приложения заворачивается через сервера владельцев сервиса.

Ни о какой анонимности и безопасности здесь и речи быть не может.

Глава 4: Звонки через «Одноклассников» и другие «сюрпризы»

Пока мы вели наше исследование, коллеги по цеху тоже не дремали.

Отдельный респект экс-разработчику Telegram Dmytro Tarasenko (iTaysonLab/vkryl) и автору denis-19 на Хабре, чьи находки мы смогли подтвердить и дополнить.

1. Звонки через OK.ru: В классе ru.dahl.messenger.Extra мы нашли константу:

   public static final String CALLS_BASE_URL = "https://calls.okcdn.ru/";

   Это прямое доказательство, что VoIP-звонки в приложении маршрутизируются через сервера «Одноклассников» (еще один актив VK Group).

2. Централизованная авторизация: В коде UserRepository зашито имя бота @dahl_auth_bot.

   Это подтверждает, что для авторизации используется бот, который может собирать метаданные о пользователе в момент входа.

3. Скрытая цензура: В ресурсах приложения мы нашли строку:

   "Материал недоступен в связи с нарушениями правил платформы"

Это заготовка для механизма черного списка, позволяющего владельцам по своему усмотрению блокировать любой контент.

Глава 5: Действующие лица и нестыковки

Коллеги раскопали и бэкграунд проекта. Основатели — Фанис Садыков и Александр Смирнов, ранее связанные с проектом VK Group Movika Studio. Сами они утверждают, что продали стартап VK год назад, а сейчас просто «используют публично доступные технологии VK на коммерческих условиях».

Однако это заявление не выдерживает критики. Исследователи указывают, что используемые эндпоинты вроде dal.mvk.com являются внутренними доменами VK, а не частью публичного облака VK Cloud. Это говорит о прямой и глубокой интеграции, а не о простом использовании публичного API.

Глава 6: Разведка на местности и позорная «Тильда»

Ради интереса мы взглянули и на их сайт telega.me. Утилита wafw00f показала, что сайт сидит за файрволом от DDoS-GUARD.

Но самое смешное открылось в HTTP-заголовках: x-tilda-server.

Весь их модный сайт — это конструктор Tilda!

Как будто на спорткар прикрутили колеса от телеги. Становится понятно, почему они не стали вкладываться в сайт — это просто красивая витрина для затягивания пользователей в приложение-пылесос.

Эпилог: Вишенка на торте — mt_click_id

Финальным штрихом стал параметр ?mt_click_id=... в URL сайта разработчика. Который присваиваеться автоматически каждому.

Префикс mt_ — это фирменная метка MyTracker.

Это click ID, который используется для сквозного отслеживания пользователя по всей воронке: Рекламный клик - Переход на сайт - Установка приложения.

Это замыкает круг слежки и доказывает, что вся экосистема «Телеги» построена вокруг сбора данных.

Финальный вердикт

«Telega» — это не просто очередной мессенджер. Это комбайн по сбору пользовательских данных для VK, который к тому же содержит в себе заготовки для цензуры, а его официальные заявления не выдерживают критики и опровергаются техническими фактами.

• Приватность: Отсутствует как класс. Приложение собирает огромный пласт данных о ваших действиях и отправляет его в VK, привязав к вашему ID.

• Безопасность: Функция «бесплатного прокси» является централизованной и полностью контролируемой владельцами. Использование этой функции равносильно добровольной передаче всего своего трафика третьим лицам.

• Честность: Разработчики вводят пользователей в заблуждение относительно своей независимости от VK

На этом все. Будьте бдительны и не доверяйте бесплатному сыру. Код не лжет.