Исследователи RKS Global протестировали восемь популярных альтернативных Telegram-клиентов для Android и выяснили, что три из них отправляют пользовательские данные на серверы в России, где к ним могут получить доступ силовые структуры.
На фоне стремительно ухудшающейся работы Telegram в России пользователи все активнее ищут обходные пути, и многие устанавливают с этой целью сторонние клиенты. Такие клиенты привлекают аудиторию расширенными функциями, включая встроенные переводчики, криптокошельки, блокировку рекламы и гибкую настройку интерфейса.
Для анализа специалисты использовали статический анализ APK (декомпиляция через jadx) и динамический анализ сетевого трафика (tcpdump + mitmproxy на рутованном эмуляторе). Эталоном для исследования служил официальный APK Telegram v12.4.3, и тестируемые APK загружали из Google Play Store (Telegram Official, Telegram X, Plus Messenger, Nekogram, Graph Messenger, «Телега», iMe) и F-Droid (Forkgram, Mercurygram).
Исследователи пишут, что наибольшую опасность для конфиденциальности пользователей может представлять «Телега» (ru.dahl.messenger). Приложение подменяет серверы Telegram на собственные: 25 IP-адресов в Казани вместо пяти стандартных DC. При этом весь MTProto-трафик проходит через российские прокси. В отчете подчеркивается, что это не теоретическая проблема, а факт, подтвержденный изучением расшифрованного HTTPS-трафика и pcap-дампами.
Кроме того, «Телега» передает аналитику на серверы VK Group (MyTracker), включая Telegram user ID и статус VPN-подключения. Звонки же маршрутизируются через инфраструктуру «Одноклассников».
«Вся переписка пользователя, который установил клиент Telega для Telegram, все его взаимодействия с другими пользователями физически оказываются в России, где по закону должны быть предоставлены властям по запросу. Параллельно Telega сообщает в VK (бывший Mail.ru) номер телефона, ID в Telegram и даже то, использует ли пользователь VPN», — заключают эксперты.
Graph Messenger и iMe также отправляют данные на серверы «Яндекса» и VK Group через встроенные рекламные и аналитические модули. К примеру, в iMe нашли более 15 рекламных SDK, в Graph Messenger — шесть.
Кроме того, отмечается, что три альтернативных клиента из восьми явно включают Firebase Analytics (Plus Messenger, Graph Messenger, iMe), хотя официальный Telegram эту функцию деактивирует. То есть альтернативные клиенты отменяют решение Telegram, и в результате Google получает данные об использовании мессенджера.
Наиболее «чистыми» на момент исследования оказались Mercurygram и Forkgram, которые не передают данные третьим сторонам. Telegram X тоже получил хорошую оценку: в нем обнаружили даже меньше разрешений и трекеров, чем в официальном клиенте. Однако исследователи обнаружили поддельный Telegram X — полноценный троян китайского происхождения. Такая малварь похищает сессии Telegram, самостоятельно вступает в каналы, перехватывает сообщения и позволяет захватить аккаунт жертвы полностью.
Эксперты RKS Global подчеркивают: даже клиенты с «чистым» профилем могут изменить поведение в следующем обновлении. Наибольшую конфиденциальность обеспечивает только официальный клиент Telegram.
Следует отметить, что параллельно с публикацией этого отчета разработчики «Телеги» в комментарии для «Бизнес ФМ» заявили, что их приложение — полностью независимая разработка. Дело в том, что ранее в этом месяце издание CNews писало, что проект «Телега» получил 200 млн рублей от учредителей в 2025 году, и в уставе АО «Телега» появился пункт об ограничении полномочий совета директоров при заключении сделок с МКПАО «ВК».
Теперь связь с VK в компании объяснили стандартными коммерческими отношениями, заявив, что «Телега» покупает у VK модуль для звонков и часть серверной инфраструктуры. Помимо этого, команда рассказала, что использует сервисы аналитики и хранения данных в Yandex Cloud. В компании настаивают, что все это — обычная практика разработки, которая не означает слияния бизнесов или потери независимости.
UPD 25.03.2026
После публикации этого материала представители «Телеги» обратились в редакцию «Хакера» с просьбой скорректировать или удалить материал. В компании заявили, что формулировки о подмене серверов и перехвате MTProto-трафика «не соответствуют действительности и некорректно описывают работу Telegram-клиентов».
По словам представителей проекта, «Телега» работает через официальный Telegram API, использует протокол MTProto, а безопасность сообщений определяется архитектурой и криптографической моделью Telegram. Также в компании утверждают, что наличие сетевых узлов в конкретном регионе не означает, что пользовательские данные обрабатываются там:
«Ряд выводов в публикации основан на интерпретации сетевого трафика. Сообщения пользователей передаются по протоколу MTProto, который не работает через TLS и использует собственную систему шифрования. Анализ HTTPS-трафика не дает оснований делать выводы о доступе к содержимому зашифрованных сообщений. В исследовании не представлено подтверждения расшифровки пользовательских сообщений или нарушения криптографической модели Telegram».
Отметим, что в исследовании RKS Global рассматривалась не компрометация шифрования MTProto, а вопросы маршрутизации трафика и передачи метаданных на серверы VK Group.
Факт использования MyTracker в «Телеге» подтвердили, но отметили, что сейчас находятся на финальном этапе перехода на AppMetrica. В компании заявляют, что эти сервисы используются для технического обеспечения работы приложения и «не предполагают передачи пользовательских данных в том виде, как это описано в исследовании».
