Il ricercatore di sicurezza Eric Parker ha segnalato che APKPure, uno dei più noti store alternativi per Android, distribuisce una versione di Telegram modificata facendola passare per quella ufficiale. Il file in questione, la 12.6.5, è firmato con un certificato che non appartiene a Telegram e contiene codice che spedisce a un server esterno numero di telefono, profilo e file presenti sul dispositivo.

La testata russa Code Durova ha rifatto la verifica per conto proprio, decompilando l’APK. All’interno compare una classe chiamata DataCollector, assente dal client originale, insieme all’indirizzo di un server scritto direttamente nel codice e localizzato, stando al controllo dell’IP, a Hong Kong.

// affiliato ▸ Fastmail · Email veloce, privata e senza pubblicità · Prova 30 giorni →

Cosa fa quel codice

La classe DataCollector raccoglie e invia numero di telefono e profilo dell’utente, ma anche foto e video dalla galleria, documenti salvati sul dispositivo e informazioni della SIM. Le chiamate a questi metodi non stanno lì per caso: scattano quando l’utente effettua l’accesso al proprio account. Gli endpoint sul server hanno nomi come /api/collect e /api/collect_batch, uno schema tipico delle applicazioni che trasmettono dati di nascosto. Secondo Parker, nel client stabile ufficiale di Telegram questa classe non esiste.

A inchiodare la versione di APKPure è la firma digitale. Code Durova ha confrontato il certificato della build 12.6.5 con quello del client scaricato da telegram.org, e le impronte non coincidono. Dato che non si può ricompilare e rifirmare un’app con la chiave di qualcun altro senza mettere mano all’APK originale, la discrepanza dice una cosa sola: quella build è stata modificata e non è stata pubblicata da Telegram.

Va aggiunto che al momento dei controlli su VirusTotal solo un antivirus su 56 segnalava il file come pericoloso, probabilmente perché la build è recente e le firme dei sistemi di protezione non sono ancora aggiornate. L’assenza di allarmi automatici, insomma, non vale come garanzia.

Non è la prima volta per APKPure

Lo store ha già avuto guai dello stesso tipo. Nel 2021 i ricercatori di Kaspersky e Dr.Web trovarono codice malevolo dentro l’app stessa dello store, un trojan della famiglia Triada poi rimosso con un aggiornamento. Nel 2025 era stato segnalato che attraverso APKPure e altre piattaforme circolavano versioni compromesse di Telegram X con un backdoor, distribuite anch’esse a nome dello sviluppatore ufficiale nonostante una firma differente.

Meglio le fonti ufficiali o le build verificabili

L’episodio ricorda perché conviene scaricare le applicazioni soltanto dai canali ufficiali, lo store del produttore, il sito dello sviluppatore o repository affidabili come F-Droid per il software libero, ed evitare gli store che riconfezionano gli APK altrui. Quando uno store ripacchetta un’app, viene a mancare proprio la garanzia che il file installato corrisponda a quello pubblicato da chi l’ha sviluppata.

Telegram, tra l’altro, offre build riproducibili: chiunque può verificare che l’app scaricata da Google Play o dal sito ufficiale sia stata compilata esattamente a partire dal codice sorgente pubblicato. È lo strumento che consente di accorgersi di una manomissione come questa. Controllare la firma di un APK prima di installarlo (anche con applicazioni come AppVerifier), quando è possibile, resta la difesa più semplice contro trucchi del genere oltre che ovviamente evitare di installare da store poco affidabili.