Полный технический анализ атаки «человек посередине» (Man-in-the-Middle), встроенной в неофициальный Telegram-клиент Telega. Подмена IP-адресов DC-прокси, инъекция RSA-ключа, отключение PFS, подавление секретных чатов и интеграция с государственной инфраструктурой цензуры.
ru.dahl.messenger — подтверждённое шпионское ПО.Неофициальный Telegram-клиент со встроенным MITM-прокси, подложным RSA-ключом, отключённым PFS, подавленными секретными чатами и интеграцией с государственной цензурой (РКН). Весь трафик Telegram может быть перехвачен.
Telega — неофициальный Telegram-клиент (ru.dahl.messenger), позиционируемый как «более быстрая и удобная» альтернатива. В действительности это инструмент государственной слежки со встроенной атакой «человек посередине» против шифрования Telegram.
18 марта 2026 года операторы Telega активировали скрытую MITM-функцию, перенаправляющую весь трафик Telegram через собственные прокси-серверы. Они подменяют IP-адреса дата-центров Telegram, внедряют подложный публичный RSA-ключ, отключают Perfect Forward Secrecy, подавляют сквозные зашифрованные секретные чаты и управляют панелями цензуры (Zeus, Cerberus), обрабатывающими запросы на блокировку от российских государственных органов (РКН).
1. Подменяет серверы Telegram своими. При запуске Telega загружает конфигурацию прокси с api.telega.info/v1/dc-proxy, получая IP-адреса из диапазона 130.49.152.0/24 (AS203502, «АКЦИОНЕРНОЕ ОБЩЕСТВО ТЕЛЕГА»). Они заменяют реальные адреса дата-центров Telegram. Весь ваш трафик теперь проходит через инфраструктуру Telega.
2. Внедряет подложный ключ шифрования. Нативная библиотека APK (libtmessages.49.so) содержит 4 публичных RSA-ключа. В официальном Telegram только 3 из них. Дополнительный ключ (по адресу 0x15788E1) принимается только прокси-серверами Telega — что доказывает наличие у них приватного ключа. Это позволяет полностью расшифровывать трафик.
3. Принудительная повторная авторизация для захвата ключей шифрования. Через тихие push-уведомления (dc_force_switch, dc_update_version) или обманный промо-баннер («Перелогиньтесь для ускорения соединения») Telega принудительно завершает сессию, уничтожая ваш auth_key. Новое рукопожатие проходит через MITM, предоставляя им свежий ключ шифрования.
4. Отключает Perfect Forward Secrecy. Официальный Telegram жёстко задаёт PFS как true. Telega устанавливает значение false по умолчанию через /dc-proxy. Без PFS компрометация одного ключа раскрывает все прошлые и будущие сообщения.
5. Незаметно блокирует секретные чаты. Через Firebase Remote Config (enable_sc=false) Telega подавляет все E2E-зашифрованные секретные чаты. Входящие запросы молча игнорируются. Кнопка «Начать секретный чат» скрыта. Пользователи ничего не знают.
6. Цензурирует контент по государственным предписаниям. Встроенная система чёрных списков (api.telega.info/v1/api/blacklist/filter) блокирует каналы, пользователей и ботов для всех пользователей Telega, показывая «Контент недоступен в связи с нарушением правил платформы» — заставляя пользователей думать, что блокировку выполнил Telegram, а не Telega.
7. Управляет панелями модерации для РКН. Обнаружены две панели: Zeus (тикет-система для обработки запросов Роскомнадзора на блокировку) и Cerberus (Mini App для модерации сообщений в реальном времени с помощью ИИ). Обе найдены на поддоменах stage.telega.info.
8. Собирает обширные данные об устройстве. Читает контакты, фотографии, запущенные процессы, учётные записи, состояние телефона, информацию о сети, местоположение (точное + приблизительное + фоновое). Использует Yandex AppMetrica для аналитики. Проверяет наличие root, отладчика, эмулятора QEMU для обхода анализа.
Это не «незначительная проблема конфиденциальности». Операторы Telega могут: читать все входящие и исходящие сообщения в любом чате, просматривать полную историю сообщений, изменять содержимое сообщений, блокировать каналы/пользователей, перекладывая вину на Telegram, хранить все ваши данные и передавать их третьим лицам — особенно правоохранительным органам.
Один пользователь Telega компрометирует все свои контакты. Любой, кто пишет пользователю Telega, подвергается перехвату сообщений — даже при использовании официального клиента Telegram. Контакты об этом не знают и не могут дать согласие.
Telega хуже государственного мессенджера. По крайней мере с государственным приложением вы знаете, что ваши сообщения контролируются. С Telega вы верите, что используете шифрование Telegram — в то время как всё проходит через инфраструктуру, связанную с государством.
Если вы используете Telega: Немедленно удалите. Завершите все сессии Telegram через Настройки → Устройства. Смените пароль 2FA. Предупредите контакты о том, что ваши сообщения могли быть перехвачены.
Если вы не используете Telega: Предупредите тех, кто использует. Заблокируйте api.telega.info, gate.telega.info и подсеть 130.49.152.0/24 на сетевом периметре. Используйте только официальный клиент Telegram или встроенный прокси Telegram.
Оценка угрозы YonSeSecurity: 8.0 / 10 — КРИТИЧЕСКИЙ. Если вы использовали Telega, считайте все сообщения Telegram скомпрометированными.
Telega (ru.dahl.messenger) — неофициальный Telegram-клиент для Android, содержащий полнофункциональную атаку «человек посередине» против протокола MTProto. Приложение подменяет IP-адреса дата-центров Telegram прокси-серверами, контролируемыми AS203502 («АКЦИОНЕРНОЕ ОБЩЕСТВО ТЕЛЕГА»), внедряет четвёртый публичный RSA-ключ, отсутствующий в официальном Telegram, и отключает Perfect Forward Secrecy — что позволяет полностью перехватывать, расшифровывать и модифицировать весь пользовательский трафик.
Анализ в песочнице Recorded Future оценил образец на 8/10 (вероятно вредоносный) в двух независимых запусках, выявив поведения: обход защиты, сбор данных, выполнение, закрепление и воздействие. Реверс-инжиниринг APK (jadx) и нативной библиотеки (IDA Pro, libtmessages.49.so) подтвердил MITM-инфраструктуру на уровне кода.
Кроме того, Telega управляет двумя панелями модерации/цензуры, обнаруженными на stage.telega.info: Zeus (тикет-система для обработки запросов Роскомнадзора на блокировку) и Cerberus (Telegram Mini App для модерации сообщений в реальном времени с помощью ИИ). Вышестоящей AS сети Telega является AS47764 LLC VK (Mail.ru), что указывает на возможные связи с российскими технологическими компаниями, связанными с государством.
Классификация: Шпионское ПО / MITM-прокси / Инструмент государственной слежки
| Поле | Значение |
|---|---|
| Имя файла | Telega_(RS)_v.2.4.0(104)(7.0-15.0)(arm7a,arm64-8a).apk |
| Размер | 129.5 МБ |
| SHA256 | ca47b6d304aeeff3be30c564f50939df4463aef810974c2e306eb9ef006d34f0 |
| Пакет | ru.dahl.messenger |
| Платформа | Android 7.0–15.0 (arm7a, arm64-8a) |
| ID песочницы | 260324-wx176sds9n, 260324-w2hxdshw7y |
| Оценка песочницы | 8 / 10 — Вероятно вредоносный |
| Платформа песочницы | android-35-x64-arm64-20260306-en |
| Теги анализа | collection defense_evasion discovery execution persistence impact |
| Сайт распространения | telega.me |
| Telegram-каналы | @dahlmessenger, @telegaru |
При запуске DCRestService Telega выполняет GET-запрос к https://api.telega.info/v1/dc-proxy. Ответ содержит подменные IP-адреса для всех 5 дата-центров Telegram:
Все IP находятся в 130.49.152.0/24, принадлежащей AS203502 «АКЦИОНЕРНОЕ ОБЩЕСТВО ТЕЛЕГА», зарегистрированной 24 ноября 2025 года (очень недавно). Единственный вышестоящий провайдер — AS47764 LLC VK (Mail.ru), а соседняя подсеть 130.49.224.0/19 также принадлежит VK. Возникает вопрос, как «маленький стартап из Казани» получил собственный номер автономной системы и блок IP /24. Эти адреса заменяют реальные адреса дата-центров Telegram (например, 149.154.167.50 для DC2 в Амстердаме).
LoginActivity.onFragmentCreate() → DCAuthHelper.initialize() → DCRepository.fetchAndSaveDcs() → GET api.telega.info/v1/dc-proxy → DCRepository.handleDcConfig() → ConnectionsManager.setDcVersion() с IP-адресами Telega, заменяющими все DC Telegram.
Firebase Remote Config включает connection_no_vpn_mode: "true", активно препятствуя использованию VPN. При активации режима Telega (dcVersion == 2) все пользовательские прокси молча удаляются:
Telega может принудительно завершить сессию несколькими способами, уничтожая auth_key и вынуждая новое MTProto-рукопожатие через MITM-прокси:
| Вектор | Класс | Триггер |
|---|---|---|
| Тихий push | TelegaPushHandler | type=dc_update_version, force_relogin=true |
| Тихий push | TelegaPushHandler | type=dc_force_switch, force_reconnect=true |
| Deep link | DCDeepLinkHandler | tg://dc_event?force_relogin=true |
| Промо-баннер | DCMigrationHelper | «Перелогиньтесь для ускорения соединения» |
Промо-баннер (классы PromoRestClient, DahlBannerCell, DCMigrationHelper) показывает:
Метод TelegramBridge.logout() выполняет три деструктивных операции:
Анализ libtmessages.49.so (arm64) через IDA Pro выявил 4 публичных RSA-ключа. Официальный Telegram содержит только 3 из них:
| Адрес | В Telegram? | Статус |
|---|---|---|
| 0x1576FFC | Да (0x15704DC) | Легитимный |
| 0x15788E1 | НЕТ | ПОДЛОЖНЫЙ КЛЮЧ |
| 0x1578A8B | Да (0x1571CAE) | Легитимный |
| 0x1578C35 | Да (0x1571E58) | Легитимный |
Python-скрипт, выполняющий MTProto-рукопожатие с отпечатком подложного ключа 0x2c945714333b5ebd, был протестирован на обоих серверах:
Вывод: Прокси-сервер Telega владеет приватным ключом для подложного RSA-ключа — что подтверждает возможность расшифровки начального MTProto-рукопожатия и проведения MITM-атаки.
Официальный Telegram жёстко задаёт PFS как true на этапе сборки. Telega устанавливает значение false по умолчанию, управляя им через эндпоинт /dc-proxy:
Без PFS весь трафик шифруется постоянным auth_key. Если Telega получает этот ключ (через MITM-рукопожатие), все прошлые и будущие сообщения становятся доступны для расшифровки.
Firebase Remote Config устанавливает enable_sc = false. Полный дамп конфигурации раскрывает дополнительные тревожные флаги:
Поскольку FeatureManager.currentInstance().isSCEnabled() возвращает false, входящие запросы на секретные чаты молча игнорируются. Кнопка «Начать секретный чат» скрыта. Deep-ссылки на секретные чаты подавлены. Пользователи не получают никаких уведомлений о недоступности E2E-шифрования. Критически важно, что этот флаг управляется с сервера — Telega может включать и выключать секретные чаты удалённо в любое время.
Клиент Telega содержит систему фильтрации по чёрному списку, блокирующую контент для всех пользователей:
| Место проверки | Эффект |
|---|---|
| ChatActivity.checkIsBlacklisted | Блокировка открытия чата |
| ProfileActivity.checkIsBlacklisted | Блокировка просмотра профиля |
| PeerStoriesView.checkIsBlacklisted | Блокировка просмотра историй |
Результаты кэшируются локально в moderation_list SharedPreferences. Оверлей отображает: «Контент недоступен — Этот [чат/канал/бот] недоступен в связи с нарушением правил платформы» — имитируя блокировку самого Telegram.
Обнаружена по адресу demo.stage.telega.info. Веб-панель для обработки государственных запросов на блокировку с 3 категориями проектов:
| Проект | Описание | Источник |
|---|---|---|
| REESTR | Запросы на ограничение каналов/групп/ботов | РКН (Роскомнадзор) |
| Personal Data | Запросы персональных данных пользователей | РКН |
| Content Risks | Дезинформация, медиаконтент | Внутренний |
Telegram Mini App по адресу cerberus-webapp.telega.info для модерации сообщений в реальном времени с ИИ-классификацией:
| Функция | Детали |
|---|---|
| Порог токсичности ИИ | 80% (автоудаление при превышении порога) |
| Порог спама ИИ | 85% |
| Автоудаление | Включено по умолчанию для нарушений с высокой достоверностью |
| Автобан | После 3 нарушений |
| Действия | delete, ban, reply, escalate |
Два независимых запуска в песочнице Recorded Future подтвердили следующие вредоносные поведения:
| Поведение | Индикатор |
|---|---|
| Обнаружение root (9 путей) | /system/bin/su, /data/local/bin/su, /system/sd/xbin/su, /data/local/su, /system/app/Superuser.apk, /sbin/su, /data/local/xbin/su, /system/bin/failsafe/su, /system/xbin/su |
| Обнаружение эмулятора | /dev/socket/qemud, /dev/qemu_pipe |
| Обнаружение отладчика | Проверка наличия отладчика |
| Снятие отпечатка CPU | /proc/cpuinfo |
| Тип данных | Индикатор |
|---|---|
| Контакты | content://com.android.contacts/contacts |
| Фотографии | content://media/external/images/media |
| Учётные записи | IAccountManager.getAccountsAsUser |
| Запущенные процессы | IActivityManager.getRunningAppProcesses |
| Информация о сети | IConnectivityManager.getActiveNetworkInfo |
| Оператор связи | Чтение информации об операторе сети |
Файловые артефакты из песочницы раскрывают тематические изображения для конкретных городов, нацеленные на российские/чеченские регионы, а также данные для 3 отдельных аккаунтов Telegram:
| Артефакт | Значение |
|---|---|
| dahl_russia.png | Общероссийская тема |
| dahl_kazan.png | Казань (заявленное происхождение Telega) |
| dahl_piter.png | Санкт-Петербург |
| dahl_moscow.png | Москва |
| dahl_makhachkala.png | Махачкала (Дагестан) |
| dahl_groznyi.png | Грозный (Чечня) |
| dahl_day_theme.attheme | Кастомный движок тем |
| account1/stats2.dat, account2/stats2.dat, account3/stats2.dat | Поддержка мультиаккаунта (3 аккаунта) |
| remote_en.xml | Удалённая конфигурация локализации |
| Поведение | Индикатор |
|---|---|
| Запланированные задачи | IJobScheduler.schedule |
| Wake lock | IPowerManager.acquireWakeLock |
| Крипто-API | javax.crypto.Cipher.doFinal |
Telega запрашивает чрезмерный набор разрешений Android, значительно превышающий потребности мессенджера:
| Разрешение | Риск |
|---|---|
| ACCESS_FINE_LOCATION | Точное GPS-отслеживание |
| ACCESS_BACKGROUND_LOCATION | Отслеживание при закрытом приложении |
| RECORD_AUDIO | Доступ к микрофону |
| CAMERA | Доступ к камере |
| READ_CONTACTS | Полный список контактов |
| WRITE_CONTACTS | Изменение контактов |
| READ_PHONE_STATE | Номер телефона, IMEI |
| READ_PHONE_NUMBERS | Все номера телефонов |
| CALL_PHONE | Звонки без интерфейса |
| READ_EXTERNAL_STORAGE | Доступ ко всем файлам |
| WRITE_EXTERNAL_STORAGE | Изменение всех файлов |
| READ_MEDIA_IMAGES/VIDEO/AUDIO | Доступ ко всем медиафайлам |
| GET_ACCOUNTS | Список всех учётных записей |
| REQUEST_INSTALL_PACKAGES | Тихая установка APK |
| SYSTEM_ALERT_WINDOW | Отображение поверх других приложений |
| BLUETOOTH_CONNECT | Доступ к сопряжённым BT-устройствам |
| ACCESS_MEDIA_LOCATION | GPS-координаты из фотографий |
| POST_NOTIFICATIONS | Тихие push-уведомления (триггеры MITM) |
| BIND_TELECOM_CONNECTION_SERVICE | Привязка к телекоммуникационному сервису |
| BIND_REMOTEVIEWS | Привязка к сервису удалённых представлений |
| BIND_CHOOSER_TARGET_SERVICE | Привязка к сервису выбора цели |
| Страна | Назначение | Домен | Протокол | Анализ |
|---|---|---|---|---|
| N/A | 224.0.0.251:5353 | — | UDP | mDNS multicast |
| RU | 158.160.224.173:443 | gate.telega.info | TCP | API-шлюз Telega |
| NL | 149.154.167.50:443 | — | TCP | Telegram DC2 (настоящий) |
| NL | 149.154.167.51:443 | — | TCP | Telegram DC2 (настоящий) |
| RU | 213.180.204.244:443 | startup.mobile.yandex.net | TCP | Инициализация Yandex SDK |
| RU | 213.180.193.226:443 | report.appmetrica.yandex.net | TCP | Аналитика Yandex |
| RU | 213.180.204.244:443 | nq.appmetrica.yandex.net | TCP | Метрики Yandex |
| US | 142.250.*.443 | firebase-settings.crashlytics.com | TCP | Firebase/Crashlytics |
| US | 142.250.*.443 | firebaseremoteconfig.googleapis.com | TCP | Remote Config (enable_sc) |
| AU | 1.1.1.1:53 | chrome.cloudflare-dns.com | UDP | Cloudflare DoH |
| US | 172.64.41.3:443 | chrome.cloudflare-dns.com | TCP | Cloudflare DoH (обход) |
| US | 142.250.191.14:443 | www.youtube.com | TCP | Интеграция YouTube |
ИТОГОВАЯ ОЦЕНКА УГРОЗЫ: 8.0 / 10 — ПОДТВЕРЖДЁННОЕ ШПИОНСКОЕ ПО С MITM-ВОЗМОЖНОСТЯМИ
api.telega.info, gate.telega.info на уровне DNS/прокси130.49.152.0/24 (AS203502) на межсетевом экране*.stage.telega.inforu.dahl.messenger на управляемых Android-устройствах (MDM)telega.info и его поддоменамTelega подменяет адреса дата-центров Telegram прокси-серверами под своим контролем, внедряет подложный RSA-ключ, приватная часть которого находится на серверах Telega (криптографически доказано), и отключает PFS. Это классическая атака «человек посередине» против MTProto.
Вышестоящей AS является VK (Mail.ru). Панели модерации обрабатывают запросы РКН на блокировку. Сложность инфраструктуры (собственная AS, блок IP /24, несколько панелей модерации) не соответствует «маленькому стартапу из Казани» — указывая на государственную поддержку.
Пользователи верят, что используют шифрование Telegram. В реальности: PFS отключён, секретные чаты подавлены, весь трафик проходит через MITM-прокси. Без уведомления, без согласия, без каких-либо признаков.
Один пользователь Telega компрометирует все свои контакты. Любой, кто пишет пользователю Telega, подвергается перехвату сообщений — даже при использовании официального клиента. Нарушение конфиденциальности распространяется на всех в сети контактов.
Использование Telega равносильно передаче телефона незнакомцу с государственными связями. В отличие от известного государственного приложения, Telega создаёт иллюзию конфиденциальности Telegram, действуя как конвейер для слежки. Многолетняя история сообщений, подписанные каналы и сети контактов становятся доступными.