Telega al descubierto: Suplantación de servidores y secuestro de sesiones de Telegram
El cliente alternativo Telega redirige el tráfico de los servidores oficiales de Telegram hacia su propia infraestructura en Kazán (AS203502, subred 130.49.152.0/24). En el primer arranque, la app obtiene una configuración vía HTTPS desde api.telega.info/v1/dc-proxy y recibe una lista JSON con 25 direcciones IP que se hacen pasar por centros de datos de Telegram.
{
"dc_version": 2,
"dcs": [
{"id":1, "addresses":[
{"host":"130.49.152.50","port":443},
{"host":"130.49.152.20","port":443}
]}
]
}
Todas las direcciones pertenecen al operador de Telega. La confianza se establece mediante una clave RSA inyectada (huella 0x2c945714333b5ebd) en la librería libtmessages.49.so, ausente en el Telegram oficial. Los servidores firman el saludo MTProto con esta clave, y el cliente acepta la conexión.
El operador genera un auth_key —tu clave de acceso a la cuenta—. Esto crea una sesión no autorizada en la app oficial de Telegram.
Prueba en vivo: Confirmando el ataque de hombre en el medio
En un emulador de Android 14 con una cuenta de prueba, tras el inicio en Telega, apareció una nueva sesión en el cliente oficial:
- Versión del sistema: iOS SDK 34 (falsa, mezcla iOS + nivel API Android).
- Ubicación: Rusia (basada en IP del servidor, ignorando GPS falso en Helsinki).
- Dirección IP: Sin datos.
- Chats secretos: Aceptar.
Cualquiera puede verificarlo: Ajustes → Dispositivos → Sesiones activas. La sesión "iOS SDK 34" apunta directamente a Telega.
Chats secretos y multimedia comprometidos
La sesión del operador tiene activada la opción "Chats secretos: Aceptar". Al iniciar un chat secreto, el servidor del operador se convierte en el punto final de cifrado de extremo a extremo, recibiendo tus mensajes en texto plano.
Las fotos de la galería (no archivos) se re-codifican:
- Envío de archivo: SHA-256 permanece igual.
- Envío de foto: SHA-256 cambia, tamaño baja de 2539 a 2298 bytes, librería JPEG distinta.
El servidor decodifica, procesa y re-codifica la imagen —viendo su contenido a la vista.
Los chats secretos también están bloqueados: Firebase Remote Config establece enable_sc: false. Las llamadas de Telegram están desactivadas en el código (isTelegramCallFallbackEnabled() = false).
Telemetría y censura
Telega envía estadísticas diarias a stats.telega.info:
POST /v1/network/usage
{
"items": [
{"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
{"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
]
}
Datos sobre tipos de contenido (bytes entrantes/salientes vía WiFi/móvil), vinculados al ID de usuario vía PASETO v4.local.
Mecanismo de censura (ru.dahl.messenger.moderation):
- Firebase activa moderation_enabled.
- El cliente descarga Mlist desde api.hub.telega.info (user_id, channel_id).
- Los mensajes se ocultan localmente.
Análisis de código y sandbox
El repositorio público en GitHub (Telegru/Telegram-Android) es el upstream limpio —sin suplantación de DCs ni inyección de clave RSA—. El APK (ru.dahl.messenger) incluye modificaciones privadas.
Sandbox de Tria.ge para APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c: 8/10 amenazas.
Firmas MITRE ATT&CK:
- T1426: Detección de root (8).
- T1407: Carga dinámica DEX/JAR (7).
- T1424: Enumeración de procesos (7).
- T1421: Reconocimiento de red (6).
- T1422: Acceso a datos del operador (6).
Extras: doble AppMetrica, PII a /v1/api/account, auto-suscripción a @telegaru, llamadas vía VK.
Conclusiones clave
- Telega sustituye los DCs de Telegram por sus propios servidores, capturando auth_keys y espiando multimedia en texto plano.
- Las sesiones falsifican "iOS SDK 34" —fácil de detectar en ajustes de Telegram.
- Chats secretos bloqueados y atacados por MitM.
- Telemetría y censura controladas desde el servidor, sin actualizaciones de APK.
- El código público no coincide con el binario.
— Editorial Team
Aún no hay comentarios.