В Nekogram нашли бэкдор, который сливает номера телефонов

Анонимный исследователь разреверсил неофициальный клиент Telegram и обнаружил вредоносный код в файле Extra.java. Он отличается от того, который залит в официальный репозиторий, и отвечает за отправку связки «номер телефона-метаданные аккаунта» inline-запросом боту @nekonotificationbot.

В Google Play у клиента более 1 миллиона скачиваний. И если ты оказался среди них, то номер от твоего аккаунта уже утек, даже не смотря на настройки приватности.

UPD.: написали модуль, который позволяет увидеть все в рантайме nekogram-proof-of-logging