Nekogram窃取用户电话号码，这要干什么？

Nekogram 12.5.2 被曝存在后门，静默窃取用户手机号

安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2（Google Play 版）内置后门代码，会在用户不知情的情况下收集所有已登录账号的手机号，并通过 Inline Query 外传至开发者控制的 Bot（@nekonotificationbot）。

后门代码位于 Extra.java（混淆后为 uo5），核心逻辑：遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。

该后门仅存在于编译发布的 APK 中，GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证，从源码自行编译的版本不含上述后门组件。

开发者回应称 Bot 仅用于"解析用户名"，但代码中明确提取了 phone 字段并使用无痕传输方式，与其说辞不符。

EXPOSED: Source Code Evidence of Nekogram Phone Number Harvesting

1. Exfiltration Logic: The function uo5.g() (reconstructed as logNumberPhones) silently collects the UserID and Phone Number of every account logged into the app (up to 8 accounts).

2. Transmission: Data is sent via Inline Queries to the bot @nekonotificationbot. This is done programmatically, so no message appears in your "Sent" history.

3. Target Bots: Three bots embedded in the client's obfuscated code:

@nekonotificationbot: Receives the automated phone number uploads.

@tgdb_search_bot and @usinfobot: : An OSINT bot mentioned in the obfuscated classes.

4. Security Token: The app uses a hardcoded secret key 741ad28818eab17668bc2c70bd419fc25ff56481758a4ac87e7ca164fb6ae1b1 as a prefix for the stolen data, likely to authenticate with the bot's backend.

5. The image shows that Nekogram always wants to get the "reg date".

Unfortunately the Google Play Store version is also affected!!!

（图片由海外大神逆向而来）

官方已发表对于事件Java的说明：

If your question is, “Is it true?”, the answer is yes, numbers were sent to the bot.

Some people are asking for an “explanation,” but what kind of explanation do you need? It is exactly what it looks like; it is what it is. 🤷‍♂️

For those interested, here is the source code of Extra.java.

Fact: not a single number has been stored anywhere or shared with anyone, though people may find that hard to believe.

Java源文件链接 点击这里即可获取

此开发者干的一些事

显著事件 / 记录（仅2023年，不包括今天的事件）：

威胁用户账户：声称他会让Nekogram上传用户的电话号码并自动删除他们的账户。

发送辱骂通知：向用户发送推送通知，诅咒他们“你妈死了”（这是一个极具冒犯性的中文侮辱）。

小动作UI操控：故意在Nekogram中将NekoX应用图标替换为“禁止”符号。

煽动EDXP风波：是EDXP事件的主谋/煽动者。

骚扰开发者：在LSPosed频道对EDXP开发者进行人身攻击。

领导针对性骚扰：带头对某第三方定制ROM开发者进行人身攻击。

滥用公共资源：未经授权使用清华大学的DoH（DNS over HTTPS），导致其过载并使服务一度离线。

这让我想800年都想不到