Retour à l'accueil

Telega usurpe les serveurs Telegram : analyse technique

L'audit technique de Telega révèle le spoofing du DC Telegram vers les serveurs de l'opérateur, capture d'auth_key et compromission des chats secrets. Photos recodées, télémétrie collecte les octets par types de contenu. Le code public ne correspond pas à l'APK.

Analyse de Telega : comment le client vole les sessions Telegram
Advertisement 728x90

Telega Dévoilé : Faux Serveurs et Détournement de Sessions Telegram

Le client alternatif Telega redirige le trafic des serveurs officiels de Telegram vers son infrastructure à Kazan (AS203502, sous-réseau 130.49.152.0/24). Au premier lancement, l’app récupère une configuration via HTTPS depuis api.telega.info/v1/dc-proxy et obtient une liste JSON de 25 adresses IP se faisant passer pour des centres de données Telegram.

{
  "dc_version": 2,
  "dcs": [
    {"id":1, "addresses":[
      {"host":"130.49.152.50","port":443},
      {"host":"130.49.152.20","port":443}
    ]}
  ]
}

Toutes les adresses appartiennent à l’opérateur de Telega. La confiance est établie via une clé RSA injectée (empreinte 0x2c945714333b5ebd) dans la bibliothèque libtmessages.49.so, absente de Telegram officiel. Les serveurs signent la poignée de main MTProto avec cette clé, et le client accepte la connexion.

L’opérateur génère une auth_key — votre clé d’accès au compte. Cela crée une session non autorisée dans l’app Telegram officielle.

Google AdInline article slot

Test en Direct : Confirmation de l'Attaque de l'Homme du Milieu

Sur un émulateur Android 14 avec un compte test, après l’initialisation dans Telega, une nouvelle session apparaît dans le client officiel :

  • Version Système : iOS SDK 34 (fausse, mélange iOS + niveau API Android).
  • Emplacement : Russie (basé sur l’IP du serveur, ignorant le GPS falsifié à Helsinki).
  • Adresse IP : Aucune donnée.
  • Chats Secrets : Accepter.

N’importe qui peut vérifier : Paramètres → Appareils → Sessions Actives. La session « iOS SDK 34 » pointe directement vers Telega.

Chats Secrets et Médias Compromis

La session de l’opérateur a « Chats Secrets : Accepter » activé. Lors du démarrage d’un chat secret, le serveur de l’opérateur devient le point de terminaison E2EE, recevant vos messages en clair.

Google AdInline article slot

Les photos de la galerie (pas les fichiers) sont ré-encodées :

  • Envoi d’un fichier : SHA-256 inchangé.
  • Envoi d’une photo : SHA-256 modifié, taille réduite de 2539 à 2298 octets, bibliothèque JPEG différente.

Le serveur décode, traite et ré-encode l’image — la voyant en clair.

Les chats secrets sont aussi bloqués : Firebase Remote Config définit enable_sc: false. Les appels Telegram sont désactivés en dur dans le code (isTelegramCallFallbackEnabled() = false).

Google AdInline article slot

Télémetrie et Censure

Telega envoie des stats quotidiennes à stats.telega.info :

POST /v1/network/usage
{
  "items": [
    {"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
    {"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
  ]
}

Données sur les types de contenu (octets entrée/sortie via WiFi/mobile), liées à l’ID utilisateur via PASETO v4.local.

Mécanisme de censure (ru.dahl.messenger.moderation) :

  • Firebase active moderation_enabled.
  • Le client tire Mlist depuis api.hub.telega.info (user_id, channel_id).
  • Les messages sont masqués localement.

Analyse de Code et Sandboxing

Le GitHub public (Telegru/Telegram-Android) est un upstream propre — pas de spoofing DC ni injection de clé RSA. L’APK (ru.dahl.messenger) intègre des mods privés.

Sandbox Tria.ge pour l’APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c : 8/10 menaces.

Signatures MITRE ATT&CK :

  • T1426 : détection root (8).
  • T1407 : chargement dynamique DEX/JAR (7).
  • T1424 : énumération de processus (7).
  • T1421 : reconnaissance réseau (6).
  • T1422 : accès aux données opérateur (6).

Extras : double AppMetrica, PII vers /v1/api/account, auto-abonnement à @telegaru, appels via VK.

Points Clés

  • Telega remplace les DC Telegram par ses serveurs, capturant les auth_keys et espionnant les médias en clair.
  • Les sessions imitent « iOS SDK 34 » — facile à repérer dans les paramètres Telegram.
  • Chats secrets bloqués et MitM.
  • Télémetrie et censure contrôlées côté serveur, sans mises à jour APK.
  • Le code public ne correspond pas au binaire.

— Editorial Team

Advertisement 728x90

Lire ensuite