Natuklasan ang obfuscated code sa hindi opisyal na Telegram client na Nekogram. Palihim nitong ipinapadala ang mga numero ng telepono ng mga user na naka-log in sa app sa bot na "@nekonotificationbot," na naka-link sa user ID. Ang pagbabago para mangolekta ng mga numero ng telepono ay makikita lamang sa mga nakumpletong APK package na ipinamamahagi sa pamamagitan ng Google Play, GitHub, at Telegram channel ng proyekto. Ang pagbabago para mangolekta ng mga numero ng telepono ay nawawala sa source code sa GitHub at sa APK package mula sa direktoryo ng F Droid.
Ang backdoor ay nasa Extra.java file. Ipinapalagay na ipinadala ito simula sa Nekogram bersyon 11.2.3, noong una ay sa mga user lamang na may mga numero ng teleponong Tsino, at pagkatapos ay sa lahat. Ginamit din ng programa ang mga osint bot na "@tgdb_search_bot" at "@usinfobot" upang matukoy ang mga user gamit ang kanilang mga ID, ngunit hindi ipinadala sa kanila ang mga numero ng telepono. 
Nakabuo ang mga mananaliksik ng isang Java hook at bot na nagbibigay-daan sa sinumang user na i-verify na ang kanilang application instance ay nagpapadala ng mga numero ng telepono. 
Ayon sa mga mananaliksik na nakatuklas sa isyu, maaaring ginamit ng mga may-akda ng programa ang impormasyong natanggap nila upang bumuo ng isang database para sa kasunod na pagbebenta sa mga tagalikha ng OSINT bot. Ang pagpapalabo ng pagbabago at ang paggamit ng mga inline na kahilingan upang magpadala ng data ay nagpapahiwatig ng sinasadyang pagtatago ng aktibidad na ito. Matapos ibunyag ang isyu sa bug tracking system ng proyekto, inamin ng may-akda ng Nekogram na nagpadala siya ng mga numero ng telepono sa kanyang bot, nang hindi ipinaliwanag ang dahilan ng aktibidad na ito, ngunit binanggit na ang mga numero ng teleponong ipinadala ay hindi na-save o ibinahagi sa sinuman.
Bukod pa rito, isang kahinaan ang natukoy sa opisyal na Telegram app. Ang Zero Day Initiative (ZDI), isang proyektong nag-aalok ng mga gantimpalang pera para sa pag-uulat ng mga hindi na-patch na kahinaan, ay naglathala ng paunang datos tungkol sa kahinaan na ZDI-CAN-30207 sa Telegram, na binigyan ng kritikal na antas ng kalubhaan (9.8 sa 10) at natukoy bilang isang malayuang pag-atake na hindi nangangailangan ng aksyon ng user. Nakatakdang ilabas ang mga detalye sa Hulyo 24, na magbibigay sa mga developer ng Telegram ng oras upang mag-deploy ng pag-aayos sa mga user.
Bukod pa rito, may lumabas na impormasyon na ang kahinaan ay lumilitaw kapag binubuksan ang mga espesyal na dinisenyong animated sticker sa Telegram at maaaring humantong sa pagpapatupad ng malisyosong code nang walang anumang aksyon ng user. Tila, ang kahinaan ay sanhi ng isang error sa rlottie library code, na nagpapagana sa preview function.
Sinabi ng mga kinatawan ng Telegram na hindi nila itinuturing na mapanganib na kahinaan ang natukoy na problema, dahil ang lahat ng na-upload na sticker ay paunang nasuri para sa... mga server Ang Telegram at ang ganitong pagsusuri ay pumigil sana sa pagpapakita ng malisyosong sticker sa mga gumagamit. Kasunod ng anunsyo ng Telegram, ang antas ng kalubhaan ng kahinaan ay ibinaba mula 9.8 patungong 7.0.
Pinagmulan: opennet.ru
