Хотели обход блокировок, получили шпионаж. Популярный клиент Telegram Nekogram тайно сливал данные пользователей

Краткий вердикт экспертов: Приложение Nekogram на протяжении нескольких месяцев скрыто собирало номера телефонов и связывало их с идентификаторами аккаунтов. Информация уходила напрямую разработчику через специально созданного бота.

В двух словах: что произошло

Исследователи обнаружили в коде Nekogram обфусцированную (специально запутанную) функцию, которая в фоновом режиме отправляла номера телефонов боту @nekonotificationbot вместе с ID пользователей. Примечательно, что вредоносный код присутствовал далеко не везде.

То есть те, кто проверял приложение по открытому коду, не находили ничего подозрительного — чистый вариант специально выложили в репозиторий. А пользователи, скачавшие готовую сборку из магазина или с канала, получали «троянского коня».

Технические детали: как именно это работало

Файл Extra.java содержал скрытый механизм, который при каждом входе в систему отправлял связку «номер телефона + идентификатор пользователя». Передача данных происходила через inline-запросы — технический приём, позволяющий скрыть следы активности. Никаких уведомлений пользователь не получал, согласия никто не спрашивал.

Хронология развития проблемы

Версия 11.2.3 стала первой сборкой, где появился этот механизм. На начальном этапе он затрагивал только пользователей с китайскими номерами, а затем распространился на всех без исключения.

Цепочка OSINT-ботов

Помимо основного бота-получателя @nekonotificationbot, приложение также обращалось к двум другим ботам — @tgdb_search_bot и @usinfobot. Через них разработчик мог находить дополнительные сведения о пользователях по их ID, хотя сами номера телефонов этим ботам не отправлялись. Фактически, приложение превращалось в инструмент OSINT-разведки, работающий на устройстве владельца.

Что говорят разработчики

Когда проблему вскрыли и подняли в баг-трекере, автор Nekogram признал факт отправки номеров своему боту. Но с объяснениями вышло неловко. На вопрос «Зачем?» он ответил примерно так: «Какие объяснения вам нужны? Это именно то, на что это похоже. Ни один номер нигде не сохранялся и никому не передавался, хотя людям может быть трудно в это поверить».

«Поверить» действительно трудно: если данные нигде не сохранялись, зачем вообще их собирать и отправлять? Исследователи предполагают, что собранная база могла готовиться к продаже создателям OSINT-сервисов — коммерческих инструментов для пробива информации по номеру телефона.

Почему это особенно опасно в 2026 году

Ситуация вокруг Telegram в России в 2026 году заметно накалилась. После ужесточения блокировок многие пользователи в панике бросились искать альтернативные клиенты, которые якобы «обходят ограничения». И Nekogram как раз попал в их число.

Исследование компании RKS Global, проведённое в марте 2026 года, показало тревожную картину: из восьми популярных сторонних клиентов Telegram для Android три отправляют пользовательские данные на серверы в Россию, а один (Nekogram) не отключает Firebase Analytics, позволяя Google собирать статистику использования.

Nekogram оказался в компании с Telega, Graph Messenger и iMe — клиентами, которые либо подменяют серверы Telegram на свои, либо набиты рекламными SDK.

Как проверить, не пострадал ли ваш аккаунт

Если вы пользовались Nekogram, вот что можно сделать прямо сейчас:

1. Удалите приложение — с устройства, со всех устройств, где оно установлено.
2. Смените пароль от аккаунта Telegram в официальном клиенте.
3. Проверьте активные сессии в настройках официального Telegram (Настройки → Устройства) и завершите все подозрительные.
4. Включите двухфакторную аутентификацию, если ещё не сделали этого.

Telegram с недавнего времени начал маркировать аккаунты пользователей, заходящих через сторонние приложения — официальный клиент показывает специальное уведомление при переписке с такими собеседниками.

Итог: выводы и рекомендации

1. Nekogram действительно сливал номера телефонов — разработчик это подтвердил.
2. Бэкдор работал выборочно — в исходном коде и версии из F-Droid его не было, что указывает на осознанное скрытие.
3. Любой сторонний клиент — это риск. Вы передаёте свои данные разработчикам, которых лично не знаете и которые могут в любой момент добавить в код что угодно.
4. Для обхода блокировок есть безопасные методы — официальный клиент + VPN/прокси — и они не требуют установки сомнительных форков. (Правда это тоже скоро не будет работать, поэтому если ли смысл вообще использовать Telegram? что думает по этому поводу, пишите в комментариях.)