Telega, iMe, Graph Messenger — скачали обход блокировки, получили слежку. Исследование показало, что делают популярные форки Telegram с вашими данными

Перебои с Telegram в России вновь подстегнули спрос на обходные решения, но вместе с ростом интереса к VPN (виртуальным частным сетям) и неофициальным клиентам выросли и риски. Исследование RKS-Global, посвящённое альтернативным Telegram-клиентам для Android, описывает неприятную картину: часть популярных приложений не просто добавляет «удобные функции», а отправляет пользовательские данные на стороннюю инфраструктуру, в том числе в Россию.

Авторы работы изучили восемь клиентов с помощью статического анализа APK (установочных пакетов Android) и динамического анализа сетевого трафика. За эталон исследователи взяли официальный Telegram v12.4.3, а затем сравнили поведение Telegram X, Plus Messenger, Nekogram, Graph Messenger, Telega, iMe, Forkgram и Mercurygram. Проверка охватывала первый запуск приложения и первые сетевые обращения, без эксплуатации уязвимостей и без сбора реальных пользовательских данных.

Самые жёсткие выводы исследование делает по поводу Telega. По данным RKS-Global, приложение тайно подменяет серверы Telegram на собственные узлы в Казани, а весь MTProto-трафик проходит через российские прокси. Параллельно клиент отправляет аналитику в инфраструктуру VK, включая Telegram user ID и признак использования VPN, а звонки маршрутизирует через сервисы, связанные с OK.ru. Если выводы исследования верны, речь идёт уже не о спорной телеметрии, а о полном изменении модели доверия к мессенджеру.

Graph Messenger и iMe, как утверждают исследователи, тоже вызывают вопросы, хотя сценарий там менее радикальный. Оба клиента передают данные через встроенные рекламные и аналитические модули на серверы Яндекса и VK Group. Отдельно авторы отмечают, что несколько альтернативных клиентов включают Firebase Analytics (сервис аналитики Google), тогда как официальный Telegram такой сбор данных явно отключает. Чем больше в приложении рекламных SDK (наборов средств разработки) и внешних трекеров, тем выше риск утечки метаданных, профилирования пользователя и передачи сведений третьим сторонам.

На другом полюсе оказались Mercurygram и Forkgram. На момент проверки оба клиента показали «чистый» сетевой профиль без отправки данных третьим сторонам. Исследователи сразу оговаривают важную деталь: хорошая оценка в одной версии не даёт пожизненной гарантии безопасности, потому что любой разработчик может изменить код в следующем обновлении и добавить новые механизмы сбора информации.

Отдельная находка выглядит ещё тревожнее. Во время работы авторы наткнулись на троянизированное приложение, маскирующееся под Telegram X. По описанию RKS-Global, вредоносная программа крадёт сессию Telegram, вступает в каналы, перехватывает сообщения с возможностью подмены содержимого и помогает захватить аккаунт. Сам оригинальный Telegram X при проверке, наоборот, получил хорошую оценку и показал даже более чистый профиль, чем официальный клиент.

Главный вывод исследования звучит просто. Для чувствительной переписки наиболее безопасным вариантом остаётся официальный Telegram, а установка случайных форков ради обхода ограничений может закончиться не восстановлением доступа, а утечкой переписки, потерей аккаунта или передачей метаданных в чужую инфраструктуру. На фоне разговоров о возможной дальнейшей блокировке сервиса в России такой риск становится уже не теоретической угрозой, а вполне практической проблемой для миллионов пользователей.