知名第三方安卓应用商店 APKPure 近日被安全研究人员曝出分发带有恶意后门的 Telegram 安装包。

根据公开分析结果，APKPure 提供的 Telegram 12.6.5 并非官方原版，而是被重新封装后植入了恶意间谍模块。该恶意版本可以窃取聊天记录、通讯录、相册、定位信息等大量隐私数据。

更严重的是，这次事件并不像普通的下载劫持，而更像一次供应链级别的安全事故。

---

恶意 APK 被植入 DataCollector 间谍框架

根据安全研究员 Eric Parker 的分析，APKPure 分发的 Telegram APK 中被额外加入了名为 DataCollector 的恶意模块。

该组件存在于 APK 的 dex 文件中，具备完整的数据收集能力，包括：

• 聊天记录

• 历史消息

• 联系人

• 手机相册

• 文件文档

• GPS 定位

• SIM 卡信息

研究人员表示，这并不是简单的测试代码，而是结构完整的监控框架。

窃取到的数据会经过 AES-GCM 加密后上传至远程服务器：

38.190.225.166

该 IP 位于香港网络节点。

---

APK 签名异常：并非 Telegram 官方版本

进一步分析发现，这个 Telegram APK 的签名与官方 Telegram Android 客户端完全不同。

这意味着：

• Telegram 官方并未被入侵

• 官方开发者密钥没有泄露

• 恶意 APK 属于二次重新封装

换句话说，这就是典型的“重打包 + 植入后门”攻击。

而更奇怪的是，APKPure 页面仍然将该 APK 标记为：

• Trusted App

• 无病毒

• 安全下载

但实际上它下载的却是恶意版本。

---

更像 APKPure 内部出现问题

从目前情况来看，这次事件大概率并不是：

• DNS 劫持

• CDN 污染

• 普通中间人攻击

因为恶意 APK 本身就是通过 APKPure 官方服务器分发的。

安全社区目前主要有两种猜测：

1. APKPure 内部基础设施遭到入侵

2. 存在内部人员恶意替换安装包

无论哪一种，都意味着第三方安卓应用市场的供应链安全问题已经非常严重。

这次 APKPure 分发恶意 Telegram 的事件，再次暴露了第三方安卓应用市场的巨大安全风险。

对于聊天工具、密码管理器、金融类 App 来说，一旦下载来源不可信，后果往往远超普通恶意软件。

在移动互联网时代，应用下载渠道本身，已经成为最危险的攻击入口之一。

标签：telegram后门