Telega 曝光:服务器伪装与 Telegram 会话劫持详解
Telega 替代客户端将 Telegram 官方服务器的流量重定向到其位于喀山的基础设施(AS203502,子网 130.49.152.0/24)。首次启动时,应用通过 HTTPS 从 api.telega.info/v1/dc-proxy 获取配置,获得一个包含 25 个伪装成 Telegram 数据中心的 IP 地址的 JSON 列表。
{
"dc_version": 2,
"dcs": [
{"id":1, "addresses":[
{"host":"130.49.152.50","port":443},
{"host":"130.49.152.20","port":443}
]}
]
}
所有地址均属于 Telega 运营商。通过在 libtmessages.49.so 库中注入的 RSA 密钥(指纹 0x2c945714333b5ebd)建立信任,该密钥在官方 Telegram 中不存在。服务器使用此密钥签署 MTProto 握手,客户端接受连接。
运营商生成 auth_key——你的账户访问密钥。这会在官方 Telegram 应用中创建未经授权的会话。
实机测试:验证中间人攻击
在 Android 14 模拟器上使用测试账户,在 Telega 完成初始设置后,官方客户端中出现了一个新会话:
- 系统版本:iOS SDK 34(伪造,混用 iOS + Android API 级别)。
- 位置:俄罗斯(基于服务器 IP,无视赫尔辛基的假 GPS)。
- IP 地址:无数据。
- 密聊:接受。
任何人均可验证:设置 → 设备 → 活跃会话。“iOS SDK 34” 会话直指 Telega。
密聊与媒体内容被泄露
运营商的会话启用了“密聊:接受”。启动密聊时,运营商服务器成为端到端加密(E2EE)终点,直接获取你的明文消息。
相册照片(非文件)会被重新编码:
- 发送文件:SHA-256 保持不变。
- 发送照片:SHA-256 变化,大小从 2539 字节降至 2298 字节,使用不同的 JPEG 库。
服务器解码、处理并重新编码图像——完全可见明文内容。
密聊功能也被禁用:Firebase Remote Config 设置 enable_sc: false。Telegram 通话在代码中被硬编码禁用(isTelegramCallFallbackEnabled() = false)。
遥测与内容审查
Telega 每天向 stats.telega.info 发送统计数据:
POST /v1/network/usage
{
"items": [
{"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
{"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
]
}
内容类型数据(WiFi/移动数据进出字节数),通过 PASETO v4.local 与用户 ID 关联。
审查机制(ru.dahl.messenger.moderation):
- Firebase 启用 moderation_enabled。
- 客户端从 api.hub.telega.info 拉取 Mlist(user_id, channel_id)。
- 消息在本地隐藏。
代码分析与沙箱检测
公开 GitHub(Telegru/Telegram-Android)是干净的上游代码——无数据中心伪装或 RSA 密钥注入。APK(ru.dahl.messenger)打包了私有修改。
Tria.ge 沙箱对 APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c 的检测:8/10 威胁。
MITRE ATT&CK 签名:
- T1426:Root 检测(8)。
- T1407:动态 DEX/JAR 加载(7)。
- T1424:进程枚举(7)。
- T1421:网络侦察(6)。
- T1422:运营商数据访问(6)。
额外功能:双重 AppMetrica,PII 发送至 /v1/api/account,自动订阅 @telegaru,通过 VK 通话。
关键要点
- Telega 将 Telegram 数据中心替换为自家服务器,窃取 auth_key 并窥探明文媒体。
- 会话伪装成“iOS SDK 34”——在 Telegram 设置中一目了然。
- 密聊被禁用并遭受中间人攻击。
- 遥测与审查由服务器控制,无需 APK 更新。
- 公开代码与二进制不匹配。
— Editorial Team
暂无评论。