▎APKPure 被曝分发疑似恶意版 Telegram,样本已被 MalwareBazaar 与 ANY.RUN 收录
安全研究者 Eric Parker 今日发文称,APKPure 正在分发一份恶意版本的 Telegram。其配图显示,名为 Telegram_12.6.5_APKPure.apk 的安装包在反编译后出现 DataCollector 类,并在代码中硬编码了多个指向 38.190.225.166 的接口地址,包括 /api/collect、/api/collect_batch、/api/config、/api/doc、/api/image 等路径。
从目前可查信息看,这一说法具备较高可信度。MalwareBazaar 已收录对应样本,文件名为 Telegram_12.6.5_APKPure.apk,SHA256 为 7d44e0009d251ae4983f5bf29f7d8aa9af668df88dba05a17a7a314f6780ceff,标签包含 FakeTelegram 与 spyware。该样本的提交者同样为 EricParker,样本页面备注称其“作为官方 Telegram 在 APKPure 分发”。(MalwareBazaar)
ANY.RUN 也收录了同一 SHA256 的样本分析报告,文件名同样为 Telegram_12.6.5_APKPure.apk,并给出 “Malicious activity” 的判定。(ANY.RUN)
APKPure 页面目前仍可检索到 Telegram 12.6.5,页面显示发布方为 Telegram FZ-LLC,版本为 12.6.5,更新时间为 2026 年 5 月 9 日,安装包大小为 47.8 MB。(APKPure.com)
目前还没有看到 Telegram 官方、APKPure 官方或大型安全厂商发布正式通报。因此更稳妥的说法是:APKPure 上的 Telegram 12.6.5 APK 已被安全研究者和恶意样本平台标记为高风险疑似恶意版本,存在伪装官方客户端、采集数据并回传至可疑服务器的嫌疑。
APPDO建议已经从 APKPure 下载或更新 Telegram 的 Android 用户立即卸载该版本,改从 Google Play 或 Telegram 官网重新安装;同时检查 Telegram「活跃会话」,退出陌生设备,并开启两步验证。手机系统层面也建议检查 Telegram 是否获得通讯录、文件、短信、位置、后台运行等权限,必要时进行一次完整安全扫描。
频道 @AppDoDo 官推 APPDOTG
