¿Cómo Hotgram y Talagram espían a los usuarios?

Ayer os hablábamos sobre los avisos que Telegram estaba mandando a los usuarios de estas dos aplicaciones usando debido al espionaje y control que realizan las mismas sobre los usuarios. Hoy os traemos la información mucho más ampliada donde hablaremos sobre el funcionamiento de estas dos aplicaciones.

Estas aplicaciones contiene una clase llamada "HotgramNotification.java" que se encarga de procesar las notificaciones recibidas por el servidor de comando y control.

OneSignal como servidor de comando y control

Estas aplicaciones al igual que "Telegram Gold" utiliza una biblioteca de notificaciones push llamada OneSignal y recibe sus comandos a través de él.

Sabemos que usa OneSignal porque importa el paquete "com.onesignal.OneSignal" dentro de HotgramNotification

La clase handleRequest y la función handlePush son responsables de detectar y ejecutar los comandos mandados por el servidor de OneSignal.

La clase HandleRequest

Esta clase es responsable tanto de enviar como de recibir información de los servidores que no sean los servidores principales de Telegram, es decir, los servidores de Hotgram y Talagram entre otros.

Código en GitHub

Esta vía de comunicación funciona sobre la base de la tecnología Rest (GET y POST) que se usa principalmente para recibir y enviar información.

Esquema funcionamiento Hotgram y Talagram

Lista de dominios a los que se conecta Hotgram y Talagram

http://2.188.184.13/
http://ads.advest.ir/z1/
http://betaws.tag.ir/tag/api/mtag/
http://cfapi.harsobh.com/
http://cfapi.hotgram.ir/
http://cfapi.talagram.ir/
http://dummyurl.com/
http://giapi.harsobh.com/
http://giapi.hotgram.ir/
http://giapi.talagram.ir/
http://gpapi.harsobh.com/
http://gpapi.hotgram.ir/
http://gpapi.talagram.ir/
http://gsapi.harsobh.com/
http://gsapi.hotgram.ir/
http://gsapi.talagram.ir/
http://lh0.hotgram.ir/
http://lh1.harsobh.com/
http://lh2.hotgram.ir/
http://lh3.harsobh.com/
http://lh4.hotgram.ir/
http://lh5.talagram.ir/
http://lh6.hotgram.ir/
http://lh7.harsobh.com/
http://lh8.hotgram.ir/
http://lh9.talagram.ir/
http://rgapi.harsobh.com/
http://rgapi.hotgram.ir/
http://rgapi.talagram.ir/
http://sapi.harsobh.com/
http://sapi.hotgram.ir/
http://sapi.talagram.ir/
http://uapi.harsobh.com/
http://uapi.hotgram.ir/
http://uapi.talagram.ir/
http://www.hotgram.ir/privacy.htm

La información se manda en sin cifrar

La información que roba la propia app y manda a sus propios servidores la manda sin ningún tipo de cifrado o encriptación, esto permite a cualquier persona poder ver fácilmente la información personal enviada si un usuario esta conectado a una red wifi pública o similar donde un atacante puede estar recolectando información.

Robo de información personal:

  • Estas aplicaciones pueden enviar la lista de todos los grupos y bots en los que se encuentra el cada usuario.
  • Enumerar todos los canales en los que un usuario es subscriptor además de si puede administrar o no el canal, es decir, si es creador, admin o solo subscriptor.
  • Puede mandar la ubicación del usuario a los servidores de Talagram y Hotgram
  • Puede interceptar y robar el código de autentificación que llega a nuestra cuenta de Telegram cuando iniciamos sesión desde otro dispositivo.
  • Puede robar la lista de todos los contactos de los usuarios que usen estas apps.
  • Puede guardar una copia de nuestras conversaciones en sus servidores.

Acciones que puede realizar sin nuestro permiso

Subscribirnos a un canal específico sin nosotros hacer nada

Código en GitHub

Pueden sacarnos de canales, borrar canales creados por nosotros sin nuestro consentimiento de forma totalmente remota

Código en GitHub

Cuando se cumple el case 18 y cuando se especifica un canal en particular, es posible que todos los administradores de un canal en particular salgan de forma involuntaria del canal

Código en GitHub

Cuando se cumple el case 20, el cliente de Telegram puede reportar un canal específicado por el creador de la aplicación, es decir, con esta función pueden reportar un mensaje como spam de un canal al que sigues o al que previamente te añadió la aplicación

Código en GitHub

Existen muchas más funciones en el código fuente de estas apps, pero las que os mostramos son las que consideramos que son más importantes. Espero que este articulo os ayudara a aclarar un poco más sobre porque Telegram advierte a los usuarios de este tipo de aplicaciones.

Apps Descompiladas: Repo: Third-party Telegram Apps Spy - GitHub