Forvirret kode er oppdaget i den uoffisielle Telegram-klienten Nekogram. Den sender i hemmelighet telefonnumre til brukere som er logget inn i appen til boten «@nekonotificationbot», koblet til bruker-ID-en. Endringen for å samle inn telefonnumre finnes kun i de fullførte APK-pakkene distribuert via Google Play, GitHub og prosjektets Telegram-kanal. Endringen for å samle inn telefonnumre mangler i kildekoden på GitHub og APK-pakken fra F Droid-katalogen.
Bakdøren fantes i Extra.java-filen. Den ble antagelig sendt fra og med Nekogram versjon 11.2.3, i utgangspunktet bare til brukere med kinesiske telefonnumre, og deretter til alle. Programmet brukte også osint-botene "@tgdb_search_bot" og "@usinfobot" for å identifisere brukere ved hjelp av ID-ene deres, men telefonnumre ble ikke sendt til dem. 
Forskere har utviklet en Java-hook og bot som lar enhver bruker bekrefte at applikasjonsinstansen deres sender telefonnumre. 
Ifølge forskerne som avdekket problemet, kan programmets forfattere ha brukt informasjonen de mottok til å bygge en database for senere salg til OSINT-botskapere. Tilsløringen av modifikasjonen og bruken av innebygde forespørsler for å sende data indikerer bevisst skjuling av denne aktiviteten. Etter at problemet ble avslørt i prosjektets feilsporingssystem, innrømmet forfatteren av Nekogram å ha sendt telefonnumre til boten sin, uten å forklare årsaken til denne aktiviteten, men bemerket at telefonnumrene som ble sendt ikke ble lagret eller delt med noen.
I tillegg har det blitt identifisert en sårbarhet i den offisielle Telegram-appen. Zero Day Initiative (ZDI), et prosjekt som tilbyr pengebelønninger for rapportering av uoppdaterte sårbarheter, har publisert foreløpige data om sårbarheten ZDI-CAN-30207 i Telegram, som har blitt tildelt et kritisk alvorlighetsnivå (9.8 av 10) og identifisert som et eksternt angrep som ikke krever noen brukerhandling. Detaljer skal etter planen publiseres 24. juli, noe som gir Telegram-utviklerne tid til å distribuere en løsning til brukerne.
Det har også dukket opp informasjon om at sårbarheten manifesterer seg når man åpner spesialdesignede animerte klistremerker i Telegram, og kan føre til at skadelig kode kjøres uten at brukeren gjør noe. Sårbarheten skyldes visstnok en feil i rlottie-bibliotekets kode, som aktiverer forhåndsvisningsfunksjonen.
Telegram-representanter uttalte at de ikke anser det identifiserte problemet som en farlig sårbarhet, ettersom alle opplastede klistremerker blir forhåndssjekket for servere Telegram, og en slik sjekk ville ha forhindret at det ondsinnede klistremerket ble vist til brukerne. Etter Telegrams kunngjøring ble alvorlighetsgraden for sårbarheten senket fra 9.8 til 7.0.
Kilde: opennet.ru
