Telega enttarnt: Server-Spoofing und Telegram-Session-Hijacking im Detail
Der Telega-Alternative-Client leitet den Traffic von den offiziellen Telegram-Servern auf die eigene Infrastruktur in Kasan um (AS203502, Subnetz 130.49.152.0/24). Beim ersten Start holt sich die App eine Konfig über HTTPS von api.telega.info/v1/dc-proxy und erhält eine JSON-Liste mit 25 IP-Adressen, die als Telegram-Rechenzentren getarnt sind.
{
"dc_version": 2,
"dcs": [
{"id":1, "addresses":[
{"host":"130.49.152.50","port":443},
{"host":"130.49.152.20","port":443}
]}
]
}
Alle Adressen gehören dem Telega-Betreiber. Das Vertrauen wird durch einen eingeschleusten RSA-Schlüssel (Fingerprint 0x2c945714333b5ebd) in der libtmessages.49.so-Bibliothek hergestellt, der im offiziellen Telegram fehlt. Die Server signieren den MTProto-Handshake mit diesem Schlüssel, und der Client akzeptiert die Verbindung.
Der Betreiber erzeugt einen auth_key – deinen Account-Zugriffsschlüssel. Dadurch entsteht eine unbefugte Session in der offiziellen Telegram-App.
Live-Test: Bestätigung des Man-in-the-Middle-Angriffs
Auf einem Android-14-Emulator mit einem Testaccount tauchte nach dem Onboarding in Telega eine neue Session im offiziellen Client auf:
- Systemversion: iOS SDK 34 (gefälscht, mischt iOS + Android-API-Level).
- Standort: Russland (basierend auf Server-IP, ignoriert gefälschtes GPS in Helsinki).
- IP-Adresse: Keine Angabe.
- Geheime Chats: Akzeptieren.
Jeder kann das überprüfen: Einstellungen → Geräte → Aktive Sessions. Die „iOS SDK 34“-Session führt direkt zu Telega.
Geheime Chats und Medien kompromittiert
Die Session des Betreibers hat „Geheime Chats: Akzeptieren“ aktiviert. Beim Start eines geheimen Chats wird der Server des Betreibers zum E2EE-Endpunkt und erhält deine Klartext-Nachrichten.
Galeriefotos (keine Dateien) werden neu kodiert:
- Datei senden: SHA-256 bleibt gleich.
- Foto senden: SHA-256 ändert sich, Größe sinkt von 2539 auf 2298 Bytes, andere JPEG-Bibliothek.
Der Server dekodiert, verarbeitet und kodiert das Bild neu – und sieht es in Klartext.
Geheime Chats sind zudem blockiert: Firebase Remote Config setzt enable_sc: false. Telegram-Anrufe sind im Code hart deaktiviert (isTelegramCallFallbackEnabled() = false).
Telemetrie und Zensur
Telega sendet tägliche Statistiken an stats.telega.info:
POST /v1/network/usage
{
"items": [
{"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
{"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
]
}
Daten zu Inhaltstypen (Bytes ein/aus über WiFi/Mobile), verknüpft mit User-ID via PASETO v4.local.
Zensurmechanismus (ru.dahl.messenger.moderation):
- Firebase aktiviert moderation_enabled.
- Client lädt Mlist von api.hub.telega.info (user_id, channel_id).
- Nachrichten werden lokal versteckt.
Code-Analyse und Sandboxing
Das öffentliche GitHub (Telegru/Telegram-Android) ist sauber upstream – keine DC-Spoofing oder RSA-Key-Injection. Die APK (ru.dahl.messenger) enthält private Mods.
Tria.ge-Sandbox für APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c: 8/10 Bedrohungen.
MITRE ATT&CK-Signaturen:
- T1426: Root-Erkennung (8).
- T1407: Dynamisches DEX/JAR-Loading (7).
- T1424: Prozess-Auflistung (7).
- T1421: Netzwerk-Aufklärung (6).
- T1422: Betreiber-Datenzugriff (6).
Extras: Doppelte AppMetrica, PII an /v1/api/account, Auto-Abo @telegaru, Anrufe via VK.
Wichtige Erkenntnisse
- Telega tauscht Telegram-Rechenzentren gegen eigene Server aus, erobert auth_keys und schaut in Klartext-Medien.
- Sessions faken „iOS SDK 34“ – leicht in Telegram-Einstellungen zu erkennen.
- Geheime Chats blockiert und MitM'd.
- Telemetrie und Zensur serverseitig gesteuert, keine APK-Updates nötig.
- Öffentlicher Code passt nicht zur Binärdatei.
— Editorial Team
Noch keine Kommentare.