圈小蛙
近日,网络安全专家通过对 Telegram 第三方客户端 Nekogram 的源码审计发现,该软件在 Extra.java 文件中植入了复杂的后门程序。该后门不仅能通过特定机器人窃取用户数据并破解账户,还能追踪多账户关联信息。此前该手段被认为主要针对中国地区用户,但最新证据显示其监控范围已扩大至全球。
审计发现:隐藏在Extra.java中的秘密
2026年4月4日,一名深耕即时通讯安全的 IT 专家在对 Nekogram 客户端进行例行代码对比时,发现了一个令人不安的细节。根据 SOTA Project 的披露,Nekogram 客户端的核心代码库中,一个名为 Extra.java 的文件引起了专家的注意。
调查发现,该文件在实际分发的二进制版本中,与开发者在 GitHub 存储库上提供的开源模板存在显著差异。这种“挂羊头卖狗肉”的行为通常是恶意软件规避审查的典型手段。专家指出,开发者利用代码混淆技术(Obfuscation)掩盖了其真实意图,使得常规的自动化扫描工具难以察觉其异常逻辑。
技术原理:无痕数据外泄与机器人自动化
该后门的技术实现非常精巧。它并未采用传统的 HTTP API 请求来传输数据,而是将敏感的用户信息封装成“内联请求”(Inline Requests),定向发送给一个名为 @nekonotificationbot 的 Telegram 机器人。
由于内联请求是 Telegram 原生协议的一部分,这种流量在用户端和服务器端看起来都像是正常的社交互动,从而实现了“无痕”的数据外泄。在 Extra.java 中,专家还发现了一套完整的账户破解流程:程序会自动收集登录凭据并利用一系列后台机器人尝试入侵。这些被窃取的数据随后被整合进一个庞大的中心化数据库,用于进一步的渗透或非法交易。
更严重的是,该客户端还具备“关联分析”功能。如果一名用户在 Nekogram 上切换使用多个账号,后门程序会自动记录并上报这些账号的关联性。这意味着,即便用户使用了不同的身份进行隔离,在 Nekogram 开发者的后台,这些身份也是处于被绑定状态的。
监控范围升级:从特定地区到全球覆盖
这并非 Nekogram 第一次陷入安全争议。据安全专家回顾,在该客户端的早期版本中,其去匿名化和监控功能主要集中在 +86 开头的中国手机号码上。在当时的环境下,这种特定的监控行为被认为具有明显的政治监控色彩。
然而,最新的分析报告显示,这种针对性已经消失,取而代之的是无差别的全球监控。无论用户使用哪个国家的手机号注册,只要使用受影响版本的 Nekogram,其个人隐私、账户关联以及聊天元数据都处于开发者及背后势力的监控之下。
安全建议:远离非官方客户端
Telegram 官方长期以来一直允许第三方开发者利用其开放 API 创建自定义客户端,这虽然丰富了生态,但也留下了巨大的安全隐患。Nekogram 后门事件再次给广大用户敲响了警钟。
安全专家强烈建议,对于隐私敏感度高的用户,应立即卸载 Nekogram 等未经官方严格审计的第三方客户端,并及时更改账号密码、重置两步验证(2FA)。在追求界面美化或额外功能的同时,不应以牺牲核心通信安全为代价。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️