安全研究员、逆向工程师 Eric Parker 于 5 月 24 日在 X 上发出紧急警告:第三方安卓应用商店 APKPure 正在分发 Telegram 12.6.5 的恶意修改版本。经逆向分析,该 APK 经重新签名打包,在 classes3.dex 中植入了名为 DataCollector 的间谍框架(超 3000 行代码)。框架内硬编码了 C2 服务器地址 38.190.225.166,并设有 /api/collect、/api/collect_batch、/api/image 等多个数据回传端点,可窃取全部聊天记录(含历史消息)、通讯录、手机相册、文档文件、GPS 位置及 SIM 卡信息,所有数据经 AES-GCM 加密后上传。与此同时,有开发者发现 APKPure 所分发的 Telegram 官方版 APK 签名有误,Telegram X 的包名亦存在异常,目前仅网页版下载正常但版本并非最新。
APKPure 成立于 2014 年,提供大量谷歌应用商店以外的安卓应用及历史版本,用户群体庞大。2023 年,游戏直播平台虎牙以 8100 万美元总现金对价从腾讯手中收购了 APKPure 100% 股权。该平台此前已有安全记录:2021 年,卡巴斯基曾披露其客户端内置了含恶意广告代码的 SDK;2025 年 10 月,Dr.Web 亦发现 APKPure 上流通着植入 Baohuo 后门的 Telegram X 修改版本。安全研究人员建议:Telegram 安卓版 APK 应仅从 telegram.org 官网或 Google Play 官方渠道下载,任何第三方商店的版本均存在未知风险。