Der er opdaget forvirret kode i den uofficielle Telegram-klient Nekogram. Den sender i hemmelighed telefonnumre på brugere, der er logget ind i appen, til botten "@nekonotificationbot", der er knyttet til bruger-ID'et. Ændringen om at indsamle telefonnumre findes kun i de færdige APK-pakker, der distribueres via Google Play, GitHub og projektets Telegram-kanal. Ændringen om at indsamle telefonnumre mangler i kildekoden på GitHub og APK-pakken fra F Droid-mappen.
Bagdøren var til stede i Extra.java-filen. Den blev formodentlig sendt startende med Nekogram version 11.2.3, i starten kun til brugere med kinesiske telefonnumre, og derefter til alle. Programmet brugte også osint-botterne "@tgdb_search_bot" og "@usinfobot" til at identificere brugere ved hjælp af deres ID'er, men telefonnumre blev ikke sendt til dem. 
Forskere har udviklet en Java-hook og bot, der giver enhver bruger mulighed for at verificere, at deres applikationsinstans sender telefonnumre. 
Ifølge forskerne, der afdækkede problemet, kan programmets forfattere have brugt de oplysninger, de modtog, til at opbygge en database til efterfølgende salg til OSINT-botudviklere. Tilsløringen af ændringen og brugen af inline-anmodninger til at sende data indikerer bevidst skjulning af denne aktivitet. Efter at problemet blev afsløret i projektets fejlsporingssystem, indrømmede forfatteren af Nekogram at have sendt telefonnumre til sin bot uden at forklare årsagen til denne aktivitet, men bemærkede, at de sendte telefonnumre ikke blev gemt eller delt med nogen.
Derudover er der blevet identificeret en sårbarhed i den officielle Telegram-app. Zero Day Initiative (ZDI), et projekt der tilbyder kontantbelønninger for rapportering af ikke-opdateringer, har offentliggjort foreløbige data om sårbarheden ZDI-CAN-30207 i Telegram, som er blevet tildelt et kritisk alvorlighedsniveau (9.8 ud af 10) og identificeret som et fjernangreb, der ikke kræver brugerhandling. Detaljer forventes at blive frigivet den 24. juli, hvilket giver Telegram-udviklerne tid til at implementere en rettelse til brugerne.
Separat er der dukket oplysninger op om, at sårbarheden manifesterer sig, når man åbner specialdesignede animerede klistermærker i Telegram, og kan føre til udførelse af skadelig kode uden nogen brugerhandling. Sårbarheden skyldes tilsyneladende en fejl i rlottie-bibliotekets kode, som aktiverer forhåndsvisningsfunktionen.
Telegram-repræsentanter udtalte, at de ikke anser det identificerede problem for at være en farlig sårbarhed, da alle uploadede klistermærker er forhåndskontrolleret for servere Telegram, og en sådan kontrol ville have forhindret det ondsindede klistermærke i at blive vist til brugerne. Efter Telegrams annoncering blev sårbarhedens alvorlighedsgrad sænket fra 9.8 til 7.0.
Kilde: opennet.ru
