Telega 폭로: 서버 위장과 텔레그램 세션 탈취 분석
Telega 대체 클라이언트는 텔레그램 공식 서버의 트래픽을 카잔(러시아) 인프라(AS203502, 서브넷 130.49.152.0/24)로 우회합니다. 앱 첫 실행 시 api.telega.info/v1/dc-proxy에서 HTTPS로 설정 파일을 가져와 텔레그램 데이터 센터로 위장한 25개 IP 주소 목록(JSON)을 받습니다.
{
"dc_version": 2,
"dcs": [
{"id":1, "addresses":[
{"host":"130.49.152.50","port":443},
{"host":"130.49.152.20","port":443}
]}
]
}
모든 주소는 Telega 운영자 소유입니다. libtmessages.49.so 라이브러리에 공식 텔레그램에는 없는 RSA 키(지문 0x2c945714333b5ebd)를 주입해 신뢰를 구축합니다. 서버가 이 키로 MTProto 핸드셰이크를 서명하면 클라이언트가 연결을 수락합니다.
운영자는 auth_key(계정 접근 키)를 생성합니다. 이로 인해 공식 텔레그램 앱에 무단 세션이 생깁니다.
실시간 테스트: 중간자 공격 확인
Android 14 에뮬레이터에서 테스트 계정으로 Telega 온보딩 후 공식 클라이언트에 새 세션이 나타났습니다:
- 시스템 버전: iOS SDK 34 (가짜, iOS + Android API 혼합).
- 위치: 러시아 (서버 IP 기준, 헬싱키 가짜 GPS 무시).
- IP 주소: 데이터 없음.
- 비밀 채팅: 수락.
누구나 확인 가능: 설정 → 기기 → 활성 세션. "iOS SDK 34" 세션은 Telega를 직시합니다.
비밀 채팅과 미디어 유출
운영자 세션에 "비밀 채팅: 수락"이 활성화되어 있습니다. 비밀 채팅 시작 시 운영자 서버가 E2EE 종단점이 되어 평문 메시지를 받습니다.
갤러리 사진(파일 아님)은 재인코딩됩니다:
- 파일 전송: SHA-256 동일.
- 사진 전송: SHA-256 변경, 크기 2539바이트에서 2298바이트로 줄고 JPEG 라이브러리 다름.
서버가 이미지를 디코딩·처리·재인코딩하며 평문으로 봅니다.
비밀 채팅 차단: Firebase Remote Config에서 enable_sc: false 설정. 텔레그램 통화는 코드에서 강제 비활성화(isTelegramCallFallbackEnabled() = false).
텔레메트리와 검열
Telega는 stats.telega.info로 매일 통계를 보냅니다:
POST /v1/network/usage
{
"items": [
{"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
{"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
]
}
콘텐츠 유형별 데이터(와이파이/모바일 입출력 바이트), PASETO v4.local로 사용자 ID 연동.
검열 메커니즘(ru.dahl.messenger.moderation):
- Firebase에서 moderation_enabled 활성화.
- 클라이언트가 api.hub.telega.info에서 Mlist(사용자 ID, 채널 ID) 가져옴.
- 메시지 로컬 숨김.
코드 분석과 샌드박스
공개 GitHub(Telegru/Telegram-Android)는 업스트림 클린—DC 위장이나 RSA 키 주입 없음. APK(ru.dahl.messenger)에 프라이빗 수정 포함.
Tria.ge 샌드박스(APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c): 8/10 위협.
MITRE ATT&CK 시그니처:
- T1426: 루트 탐지(8).
- T1407: 동적 DEX/JAR 로딩(7).
- T1424: 프로세스 열거(7).
- T1421: 네트워크 정찰(6).
- T1422: 운영자 데이터 접근(6).
추가: AppMetrica 중복, PII를 /v1/api/account로, @telegaru 자동 구독, VK 통화.
주요 결론
- Telega가 텔레그램 DC를 자체 서버로 교체해 auth_key 탈취하고 평문 미디어 엿봄.
- 세션 "iOS SDK 34" 위장—텔레그램 설정에서 쉽게 발견.
- 비밀 채팅 차단 및 중간자 공격.
- 텔레메트리·검열 서버 측 제어, APK 업데이트 불필요.
- 공개 코드와 바이너리 불일치.
— Editorial Team
아직 댓글이 없습니다.