Zurück zur Startseite

Telega spoofed Telegram-Server: technische Analyse

Technischer Audit von Telega deckte Spoofing von Telegram DC zu Servern des Operators auf, auth_key-Erfassung und Kompromittierung von Secret Chats. Fotos werden neu kodiert, Telemetrie sammelt Bytes nach Inhaltstypen. Öffentlicher Code passt nicht zur APK.

Telega-Aufschlüsselung: Wie der Client Telegram-Sitzungen stiehlt
Advertisement 728x90

Telega enttarnt: Server-Spoofing und Telegram-Session-Hijacking im Detail

Der Telega-Alternative-Client leitet den Traffic von den offiziellen Telegram-Servern auf die eigene Infrastruktur in Kasan um (AS203502, Subnetz 130.49.152.0/24). Beim ersten Start holt sich die App eine Konfig über HTTPS von api.telega.info/v1/dc-proxy und erhält eine JSON-Liste mit 25 IP-Adressen, die als Telegram-Rechenzentren getarnt sind.

{
  "dc_version": 2,
  "dcs": [
    {"id":1, "addresses":[
      {"host":"130.49.152.50","port":443},
      {"host":"130.49.152.20","port":443}
    ]}
  ]
}

Alle Adressen gehören dem Telega-Betreiber. Das Vertrauen wird durch einen eingeschleusten RSA-Schlüssel (Fingerprint 0x2c945714333b5ebd) in der libtmessages.49.so-Bibliothek hergestellt, der im offiziellen Telegram fehlt. Die Server signieren den MTProto-Handshake mit diesem Schlüssel, und der Client akzeptiert die Verbindung.

Der Betreiber erzeugt einen auth_key – deinen Account-Zugriffsschlüssel. Dadurch entsteht eine unbefugte Session in der offiziellen Telegram-App.

Google AdInline article slot

Live-Test: Bestätigung des Man-in-the-Middle-Angriffs

Auf einem Android-14-Emulator mit einem Testaccount tauchte nach dem Onboarding in Telega eine neue Session im offiziellen Client auf:

  • Systemversion: iOS SDK 34 (gefälscht, mischt iOS + Android-API-Level).
  • Standort: Russland (basierend auf Server-IP, ignoriert gefälschtes GPS in Helsinki).
  • IP-Adresse: Keine Angabe.
  • Geheime Chats: Akzeptieren.

Jeder kann das überprüfen: Einstellungen → Geräte → Aktive Sessions. Die „iOS SDK 34“-Session führt direkt zu Telega.

Geheime Chats und Medien kompromittiert

Die Session des Betreibers hat „Geheime Chats: Akzeptieren“ aktiviert. Beim Start eines geheimen Chats wird der Server des Betreibers zum E2EE-Endpunkt und erhält deine Klartext-Nachrichten.

Google AdInline article slot

Galeriefotos (keine Dateien) werden neu kodiert:

  • Datei senden: SHA-256 bleibt gleich.
  • Foto senden: SHA-256 ändert sich, Größe sinkt von 2539 auf 2298 Bytes, andere JPEG-Bibliothek.

Der Server dekodiert, verarbeitet und kodiert das Bild neu – und sieht es in Klartext.

Geheime Chats sind zudem blockiert: Firebase Remote Config setzt enable_sc: false. Telegram-Anrufe sind im Code hart deaktiviert (isTelegramCallFallbackEnabled() = false).

Google AdInline article slot

Telemetrie und Zensur

Telega sendet tägliche Statistiken an stats.telega.info:

POST /v1/network/usage
{
  "items": [
    {"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
    {"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
  ]
}

Daten zu Inhaltstypen (Bytes ein/aus über WiFi/Mobile), verknüpft mit User-ID via PASETO v4.local.

Zensurmechanismus (ru.dahl.messenger.moderation):

  • Firebase aktiviert moderation_enabled.
  • Client lädt Mlist von api.hub.telega.info (user_id, channel_id).
  • Nachrichten werden lokal versteckt.

Code-Analyse und Sandboxing

Das öffentliche GitHub (Telegru/Telegram-Android) ist sauber upstream – keine DC-Spoofing oder RSA-Key-Injection. Die APK (ru.dahl.messenger) enthält private Mods.

Tria.ge-Sandbox für APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c: 8/10 Bedrohungen.

MITRE ATT&CK-Signaturen:

  • T1426: Root-Erkennung (8).
  • T1407: Dynamisches DEX/JAR-Loading (7).
  • T1424: Prozess-Auflistung (7).
  • T1421: Netzwerk-Aufklärung (6).
  • T1422: Betreiber-Datenzugriff (6).

Extras: Doppelte AppMetrica, PII an /v1/api/account, Auto-Abo @telegaru, Anrufe via VK.

Wichtige Erkenntnisse

  • Telega tauscht Telegram-Rechenzentren gegen eigene Server aus, erobert auth_keys und schaut in Klartext-Medien.
  • Sessions faken „iOS SDK 34“ – leicht in Telegram-Einstellungen zu erkennen.
  • Geheime Chats blockiert und MitM'd.
  • Telemetrie und Zensur serverseitig gesteuert, keine APK-Updates nötig.
  • Öffentlicher Code passt nicht zur Binärdatei.

— Editorial Team

Advertisement 728x90

Weiterlesen