据 SOTA 报道,"后门隐藏在 http://Extra.java 文件中,该文件与上传至代码库的模板不同。经过混淆的代码以内联请求形式向@nekonotificationbot 发送数据,不留痕迹。同一文件还通过多个机器人实现账户'人肉搜索';泄露的数据很可能被用于填充他们的数据库。"
此外,Nekogram 客户端的创建者(据推测为Z国籍)此前曾因发起 DDoS 攻击和不道德的在线行为(包括对熟人发出死亡威胁)而为人所知。
显然,在客户端的早期版本中,去匿名化仅应用于中国电话号码,这可能被用于政治监控;然而,现在它已应用于所有用户。


注意: 11.2.3 版本起便被植入恶意代码!
对应时间为 2024 年 10 月 25 日
在这之后使用过此软件的用户,赶紧做安全措施
最好转移数据至 全新的 官方 APP 注册的账号!


目前开发者已经回复该问题,省流就是:
数据我收集了,怎么用的不告诉你,你能拿我咋滴,嘻嘻


image.png

Nekogram 手机号码收集的源代码证据
telegram-cloud-photo-size-5-6231024921547050066-y.jpg

  1. 数据外泄逻辑:函数 uo5.g()(重构为 logNumberPhones)悄无声息地收集每个登录该应用的账户的用户ID和电话号码(最多8个账户)。
  2. 传输:数据通过内联查询发送给机器人 @nekonotificationbot。这是程序自动完成的,因此不会在你的“已发送”记录中出现任何消息。
  3. 目标机器人:客户端混淆代码中嵌入了三个机器人:
    @nekonotificationbot:接收自动上传的电话号码。
    @tgdb_search_bot 和 @usinfobot:混淆类中提到的一个开源情报(OSINT)机器人。
  4. 安全令牌:该应用使用硬编码的密钥 741ad28818eab17668bc2c70bd419fc25ff56481758a4ac87e7ca164fb6ae1b1 作为被窃取数据的前缀,可能用于与机器人的后端进行身份验证。
  5. 图片显示 Nekogram 总是想获取“注册日期”。
    遗憾的是,Google Play 商店版本也受到影响!!!

消息来源:
https://t.me/techleakszone/9417
https://t.me/techleakszone/9418