Telega Dévoilé : Faux Serveurs et Détournement de Sessions Telegram
Le client alternatif Telega redirige le trafic des serveurs officiels de Telegram vers son infrastructure à Kazan (AS203502, sous-réseau 130.49.152.0/24). Au premier lancement, l’app récupère une configuration via HTTPS depuis api.telega.info/v1/dc-proxy et obtient une liste JSON de 25 adresses IP se faisant passer pour des centres de données Telegram.
{
"dc_version": 2,
"dcs": [
{"id":1, "addresses":[
{"host":"130.49.152.50","port":443},
{"host":"130.49.152.20","port":443}
]}
]
}
Toutes les adresses appartiennent à l’opérateur de Telega. La confiance est établie via une clé RSA injectée (empreinte 0x2c945714333b5ebd) dans la bibliothèque libtmessages.49.so, absente de Telegram officiel. Les serveurs signent la poignée de main MTProto avec cette clé, et le client accepte la connexion.
L’opérateur génère une auth_key — votre clé d’accès au compte. Cela crée une session non autorisée dans l’app Telegram officielle.
Test en Direct : Confirmation de l'Attaque de l'Homme du Milieu
Sur un émulateur Android 14 avec un compte test, après l’initialisation dans Telega, une nouvelle session apparaît dans le client officiel :
- Version Système : iOS SDK 34 (fausse, mélange iOS + niveau API Android).
- Emplacement : Russie (basé sur l’IP du serveur, ignorant le GPS falsifié à Helsinki).
- Adresse IP : Aucune donnée.
- Chats Secrets : Accepter.
N’importe qui peut vérifier : Paramètres → Appareils → Sessions Actives. La session « iOS SDK 34 » pointe directement vers Telega.
Chats Secrets et Médias Compromis
La session de l’opérateur a « Chats Secrets : Accepter » activé. Lors du démarrage d’un chat secret, le serveur de l’opérateur devient le point de terminaison E2EE, recevant vos messages en clair.
Les photos de la galerie (pas les fichiers) sont ré-encodées :
- Envoi d’un fichier : SHA-256 inchangé.
- Envoi d’une photo : SHA-256 modifié, taille réduite de 2539 à 2298 octets, bibliothèque JPEG différente.
Le serveur décode, traite et ré-encode l’image — la voyant en clair.
Les chats secrets sont aussi bloqués : Firebase Remote Config définit enable_sc: false. Les appels Telegram sont désactivés en dur dans le code (isTelegramCallFallbackEnabled() = false).
Télémetrie et Censure
Telega envoie des stats quotidiennes à stats.telega.info :
POST /v1/network/usage
{
"items": [
{"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
{"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
]
}
Données sur les types de contenu (octets entrée/sortie via WiFi/mobile), liées à l’ID utilisateur via PASETO v4.local.
Mécanisme de censure (ru.dahl.messenger.moderation) :
- Firebase active moderation_enabled.
- Le client tire Mlist depuis api.hub.telega.info (user_id, channel_id).
- Les messages sont masqués localement.
Analyse de Code et Sandboxing
Le GitHub public (Telegru/Telegram-Android) est un upstream propre — pas de spoofing DC ni injection de clé RSA. L’APK (ru.dahl.messenger) intègre des mods privés.
Sandbox Tria.ge pour l’APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c : 8/10 menaces.
Signatures MITRE ATT&CK :
- T1426 : détection root (8).
- T1407 : chargement dynamique DEX/JAR (7).
- T1424 : énumération de processus (7).
- T1421 : reconnaissance réseau (6).
- T1422 : accès aux données opérateur (6).
Extras : double AppMetrica, PII vers /v1/api/account, auto-abonnement à @telegaru, appels via VK.
Points Clés
- Telega remplace les DC Telegram par ses serveurs, capturant les auth_keys et espionnant les médias en clair.
- Les sessions imitent « iOS SDK 34 » — facile à repérer dans les paramètres Telegram.
- Chats secrets bloqués et MitM.
- Télémetrie et censure contrôlées côté serveur, sans mises à jour APK.
- Le code public ne correspond pas au binaire.
— Editorial Team
Aucun commentaire pour le moment.