虎牙旗下知名Android应用商店 APKPure 日前被开发者发现分发带有后门程序的 Telegram 安装包，这个恶意版本存在明显的错误包名和签名不正确，该应用商店提供的 Telegram 和 Telegram X 均为恶意版本，而提供的 Telegram Web 版虽然没后门程序但是属于旧版本。

重新封装官方包增加后门框架收集用户信息：

根据安全研究人员 @EricParker 发布的分析，APKPure 分发的 Telegram 12.6.5 版被添加间谍框架 DataCollector 后重新签名封装，而这个间谍框架则可以窃取用户的多种私密信息，包括全部聊天记录 (以及所有未删除的历史消息)、通讯录、手机相册内容 (如有权限)、文档文件 (如有权限)、GPS 位置信息、SIM 卡信息。

间谍框架收集的信息会通过 AES-GCM 算法加密后发送到黑客的命令与控制服务器 (38.190.225.166)，这个 IP 地址属于 Cogent Communications 在香港的服务器，目前尚未发现与该 IP 地址有关联的域名。

APKPure 出现内部问题的概率极高：

从目前情况来看包含间谍框架的安装包是通过 APKPure 官方服务器进行分发，并非出现 DNS 劫持或者发生其他中间人攻击，开发者 @南宫雪珊发布的信息显示，APKPure 提供的 12.7.3 版签名是正确的，这也是 Telegram 官方Android版的最新版。

所以为什么 APKPure 指向 Telegram 最新版的链接会下载带有后门程序的 12.6.5 版呢？这个版本并非最新版但却被 APKPure 指定为最新版提供，这显然可以排除是 DNS 劫持或者中间人攻击，更有可能是 APKPure 内部出现问题。

从 Google Play 等渠道获取 Telegram 官方版安装包并非难事，所以为什么 APKPure 会提供经过重新封装的恶意版本就很让人惊讶了，无非是要么 APKPure 内部基础设施已经遭到黑客入侵，要么就是 APKPure 内鬼执行的恶意操作。

最后提醒各位下载Android应用程序时优先通过 Google Play 安装，如果无法通过 Google Play 安装则应当从软件官方网站下载，尽可能不要通过这些第三方的应用商店下载，以免出现安全问题泄露隐私。