O pesquisador de segurança e engenheiro de reversão Eric Parker emitiu um alerta urgente no dia 24 de maio no X: a loja de aplicativos Android de terceiros APKPure está distribuindo uma versão maliciosamente modificada do Telegram 12.6.5. Após análise de reversão, constatou-se que esse APK foi reassinado e empacotado; dentro do arquivo classes3.dex, foi inserido um framework de espionagem chamado DataCollector, contendo mais de 3.000 linhas de código. O endereço do servidor C2 38.190.225.166 está codificado diretamente no framework, além de existirem diversos endpoints para envio de dados, como /api/collect, /api/collect_batch e /api/image. Esse framework consegue roubar todo o histórico de conversas, lista de contatos, álbum de fotos, documentos, localização GPS e informações do cartão SIM; todos esses dados são criptografados via AES-GCM antes de serem enviados ao servidor. Paralelamente, desenvolvedores perceberam que o APK oficial do Telegram disponibilizado pela APKPure possui assinatura incorreta, e o nome do pacote do Telegram X também apresenta anomalias. Atualmente, apenas o download via versão web funciona normalmente, porém não corresponde à versão mais recente.
Fundada em 2014, a APKPure oferece uma vasta quantidade de aplicativos Android e versões antigas que não estão presentes na Play Store, contando com um público extremamente amplo. Em 2023, a plataforma de streaming de jogos Huya adquiriu 100% das ações da APKPure por 81 milhões de dólares em dinheiro, vindo da Tencent. A história de segurança da plataforma já é conhecida: em 2021, a Kaspersky revelou que seu cliente incluía um SDK com códigos de anúncios maliciosos; em outubro de 2025, a Dr.Web identificou a circulação de uma versão modificada do Telegram X na APKPure, contendo o backdoor Baohuo. Os especialistas em segurança recomendam que os usuários baixem o APK do Telegram para Android exclusivamente pelo site oficial telegram.org ou pela Play Store; qualquer versão obtida em lojas de terceiros pode trazer riscos desconhecidos.