返回首页

Telega 伪装 Telegram 服务器:技术剖析

Telega 技术审计揭示了对 Telegram DC 到运营商服务器的伪装、auth_key 捕获和秘密聊天泄露。照片被重新编码,遥测按内容类型收集字节。公开代码与 APK 不匹配。

Telega 剖析:客户端如何窃取 Telegram 会话
Advertisement 728x90

Telega 曝光:服务器伪装与 Telegram 会话劫持详解

Telega 替代客户端将 Telegram 官方服务器的流量重定向到其位于喀山的基础设施(AS203502,子网 130.49.152.0/24)。首次启动时,应用通过 HTTPS 从 api.telega.info/v1/dc-proxy 获取配置,获得一个包含 25 个伪装成 Telegram 数据中心的 IP 地址的 JSON 列表。

{
  "dc_version": 2,
  "dcs": [
    {"id":1, "addresses":[
      {"host":"130.49.152.50","port":443},
      {"host":"130.49.152.20","port":443}
    ]}
  ]
}

所有地址均属于 Telega 运营商。通过在 libtmessages.49.so 库中注入的 RSA 密钥(指纹 0x2c945714333b5ebd)建立信任,该密钥在官方 Telegram 中不存在。服务器使用此密钥签署 MTProto 握手,客户端接受连接。

运营商生成 auth_key——你的账户访问密钥。这会在官方 Telegram 应用中创建未经授权的会话。

Google AdInline article slot

实机测试:验证中间人攻击

在 Android 14 模拟器上使用测试账户,在 Telega 完成初始设置后,官方客户端中出现了一个新会话:

  • 系统版本:iOS SDK 34(伪造,混用 iOS + Android API 级别)。
  • 位置:俄罗斯(基于服务器 IP,无视赫尔辛基的假 GPS)。
  • IP 地址:无数据。
  • 密聊:接受。

任何人均可验证:设置 → 设备 → 活跃会话。“iOS SDK 34” 会话直指 Telega。

密聊与媒体内容被泄露

运营商的会话启用了“密聊:接受”。启动密聊时,运营商服务器成为端到端加密(E2EE)终点,直接获取你的明文消息。

Google AdInline article slot

相册照片(非文件)会被重新编码:

  • 发送文件:SHA-256 保持不变。
  • 发送照片:SHA-256 变化,大小从 2539 字节降至 2298 字节,使用不同的 JPEG 库。

服务器解码、处理并重新编码图像——完全可见明文内容。

密聊功能也被禁用:Firebase Remote Config 设置 enable_sc: false。Telegram 通话在代码中被硬编码禁用(isTelegramCallFallbackEnabled() = false)。

Google AdInline article slot

遥测与内容审查

Telega 每天向 stats.telega.info 发送统计数据:

POST /v1/network/usage
{
  "items": [
    {"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
    {"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
  ]
}

内容类型数据(WiFi/移动数据进出字节数),通过 PASETO v4.local 与用户 ID 关联。

审查机制(ru.dahl.messenger.moderation):

  • Firebase 启用 moderation_enabled。
  • 客户端从 api.hub.telega.info 拉取 Mlist(user_id, channel_id)。
  • 消息在本地隐藏。

代码分析与沙箱检测

公开 GitHub(Telegru/Telegram-Android)是干净的上游代码——无数据中心伪装或 RSA 密钥注入。APK(ru.dahl.messenger)打包了私有修改。

Tria.ge 沙箱对 APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c 的检测:8/10 威胁。

MITRE ATT&CK 签名:

  • T1426:Root 检测(8)。
  • T1407:动态 DEX/JAR 加载(7)。
  • T1424:进程枚举(7)。
  • T1421:网络侦察(6)。
  • T1422:运营商数据访问(6)。

额外功能:双重 AppMetrica,PII 发送至 /v1/api/account,自动订阅 @telegaru,通过 VK 通话。

关键要点

  • Telega 将 Telegram 数据中心替换为自家服务器,窃取 auth_key 并窥探明文媒体。
  • 会话伪装成“iOS SDK 34”——在 Telegram 设置中一目了然。
  • 密聊被禁用并遭受中间人攻击。
  • 遥测与审查由服务器控制,无需 APK 更新。
  • 公开代码与二进制不匹配。

— Editorial Team

Advertisement 728x90

继续阅读