Что случилось? В России блокируют телеграм — и пользователи ищут альтернативы привычному средству связи. Многие делают выбор в пользу Telega. Это запущенный в 2025 году неофициальный телеграм-клиент от казанской компании АО «Телега». То есть приложение, разработанное на базе открытого кода сторонними разработчиками, но для обмена сообщениями подключающееся к серверам Telegram.
У экспертов с самого начала возник скепсис в отношении Telega: многое указывало на то, что сервис тесно связан с VK. А в начале марта 2026-го издание CNews обратило внимание, что аффилированность с подконтрольной государству корпорацией практически впрямую проговаривается в уставе АО «Телега».
Наконец, еще более суровые обвинения в адрес Telega выдвинул анонимный исследователь, который 20 марта выложил на специально созданном сайте dontusetelega.lol (то есть буквально «не пользуйся „Телегой“ 😂») работу «Полный технический анализ MITM в клиенте Telega».
MITM — это атака типа «человек посередине» (man-in-the-middle). Она позволяет расшифровывать трафик пользователя и даже подменять его.
По словам исследователя, Telega начала перехват телеграм-трафика своих пользователей утром 18 марта. Соответствующие предупреждения сначала были опубликованы в телеграм-канале того же анонимного автора «are we MITMing yet?», который он запустил еще 12 февраля.
Судя по всему, исследователь заранее проанализировал приложение, нашел там встроенный инструментарий для перехвата трафика — и ждал, когда им воспользуются владельцы Telega.
Telegram уже косвенно отреагировал на скандал — оперативно удалив синюю галочку верификации у официального телеграм-канала Telega.

Чем грозит такой перехват трафика? Владельцы Telega видят абсолютно всю вашу активность в телеграме, как если бы они стояли у вас за плечом. Они могут читать всю вашу переписку, сохранять ее себе в архив — и передавать по запросу спецслужб. А также произвольно ограничивать доступ к любому контенту и (в теории) даже писать от вашего имени что угодно кому угодно.
Объяснение исследователя
Telega со вчерашнего дня видит без исключения все переписки своих пользователей, получает вместе с ними все уведомления и входящие сообщения.Telega может и, скорее всего, сохраняет у себя всю историю действий телеграм-аккаунтов, которые используются в их приложении.Если кто-то залогинится в Telega, начиная со вчерашнего дня, то он отдает им ПОЛНЫЙ и НЕКОНТРОЛИРУЕМЫЙ ДОСТУП к своему аккаунту Telegram — до тех пор, пока пользователь не одумается и не убьет сессию, конечно.

При этом мы не знаем, может ли Telega перехватывать ваши аудио- и видеозвонки: именно с доступностью этих функций в приложении был связан первый всплеск его популярности в 2025-м, когда Роскомнадзор заблокировал голосовую и видеосвязь в телеграме. Но владельцы Telega точно будут знать, с кем и когда вы созванивались.

А Telega точно будет сотрудничать с властями? Да. Во-первых, это российская компания. У нее в политике конфиденциальности прямо написано, что она готова передавать ваши персональные данные «представителям государственных органов для целей исполнения требований законодательства Российской Федерации». А в условиях использования говорится о готовности заблокировать любого пользователя по требованию властей.
Во-вторых, пользователи профильных ресурсов для разработчиков в день начала MITM-атаки обнаружили субдомен адреса telega.info, на котором предположительно размещался прототип платформы для модерации контента внутри Telega. Доступ к странице был быстро закрыт, но, судя по заархивированной версии, функционал ресурса, вероятно, позволит массово обрабатывать запросы по передаче персональных данных и по блокировке конкретных постов, каналов, групп, ботов и отдельных пользователей.

И как именно Telega перехватывает трафик? Приложение направляет весь трафик через свои прокси-серверы. Они изначально жестко прописаны в коде приложения, и поменять на посторонние их нельзя.
Но одного этого было бы мало. Надо еще суметь вклиниться в пользовательский трафик. Чтобы объяснить, как это делает Telega, стоит вспомнить, как вообще работает шифрование данных в телеграме.

И как же? При подключении любого нового приложения к телеграму, когда вы логинитесь, на устройстве сохраняется так называемый авторизационный ключ. Этот ключ используется для шифрования и дешифровки всех данных, передаваемых между вашим клиентом и серверами Telegram.
На этих серверах хранится точно такой же ключ. Свой уникальный ключ существует для каждого вашего приложения.
Но пересылать его в открытом виде глупо — данные могут перехватить. Поэтому для генерации ключа используется асимметричная криптография. Если попытаться объяснить очень просто, это значит, что внешний наблюдатель может видеть все этапы согласования общего ключа, но не сможет его восстановить. В асимметричной криптографии у каждой из сторон (ваше приложение и серверы Telegram) есть своя пара ключей — приватный и публичный. Публичный ключ конкретного сервера Telegram известен заранее и прописан в коде абсолютно всех телеграм-клиентов.

Так что же придумала Telega, чтобы провернуть свою атаку? Telega может подменять первоначальное подключение к серверам Telegram, потому что в ее коде прописан собственный дополнительный публичный ключ.
Когда вы войдете в телеграм через Telega, а та включит режим MITM-атаки, то будет создан не один, а два авторизационных ключа. Один будет храниться на вашем устройстве и промежуточном прокси-сервере Telega, а второй — на том же сервере и на серверах Telegram.
Первый ключ будет использоваться для шифрования трафика только на отрезке между вашим устройством и прокси. Затем будет дешифрован и прочитан на промежуточном узле. И только после этого данные зашифруют вторым ключом и отправят уже на серверы телеграма.

Касается ли это тех, кто залогинился в Telega до начала MITM-атаки 18 марта? Узнать
Увы, касается. Таких пользователей просто заставят перелогиниться. Приложение может это сделать несколькими способами. В том числе с помощью вот такого баннера, найденного исследователем в коде приложения:
Мы переходим на выделенные серверы для максимальной скорости и стабильности звонков, чатов и загрузки медиа. Вам нужно только перезайти в свой аккаунт.Накануне включения MITM-режима в телеграм-канале Telega появилось сообщение о расширении «инфраструктуры для стабильной работы сервиса».

Вы же писали что прокси для телеграма безопасные? Так и есть. Но только если злоумышленник не контролирует одновременно и прокси, и приложение пользователя. Мы это отдельно подчеркивали — если вы что-то упустили, пожалуйста, еще раз прочтите материал по ссылке.
Интересно, что свойства прокси позволяют пользователям тоже эксплуатировать Telega в своих интересах: вы можете спокойно использовать в официальных клиентах серверы, встроенные в приложение. Энтузиасты-разработчики давно научились доставать их из кода Telega — и публикуют в отдельном канале.

Что делать, если у меня уже стоит Telega? Наш однозначный совет: удалите это приложение и установите официальный клиент Telegram. В настройках официального приложения найдите опцию «Завершить все другие сеансы» («Настройки» → «Устройства»). И поменяйте облачный пароль.
Утекшие данные не вернуть. Но так вы хотя бы перекроете дальнейший доступ Telega к вашим перепискам.

А эти выводы анонимного эксперта подтверждаются? Да. Эксперты RKS Global
в комментарии «Медузе» сообщили, что ознакомились с результатами исследования dontusetelega.lol, перепроверили выводы анонимного автора — и подтвердили их.
Кроме того, 20 марта они опубликовали собственное исследование, в рамках которого протестировали восемь альтернативных телеграм-клиентов, доступных на Android. Среди них была и Telega. И это единственное приложение, у которого уровень риска при использовании был оценен как «критический».
Эксперты проверяли, есть ли в альтернативных клиентах скрытые механизмы для слежки за пользователями и передают ли они данные на инфраструктуру, доступ к которой есть у российских силовиков. Исследование подтвердило, что Telega собирает аналитику более чем по 30 событиям через MyTracker, а звонки маршрутизируются через инфраструктуру «Одноклассников» — оба сервиса принадлежат VK.
По данным RKS Global, собственные прокси приложения расположены в Казани. То есть все его данные, включая переписку, физически находятся в России.
Наконец, эксперты подтвердили, что Telega целенаправленно собирает данные об использовании VPN на конкретном устройстве и передает их VK.

Ну а другими неофициальными клиентами пользоваться безопасно? Вот что следует из сводной таблицы исследователей:

• уровень риска от использования клиентов Graph Messenger и iMe оценивается как «высокий». В первую очередь из-за того, что эти приложения содержат встроенные рекламные и аналитические модули, отправляющие данные на российские серверы
  . Первый делится ими с «Яндексом», второй — с «Яндексом» и VK. А еще содержит китайский рекламный модуль Pangle, созданный ByteDance.
• Приложения Plus Messenger и Nekogram исследователи определили в группу «среднего» риска. Оба клиента содержат встроенную функцию перевода. Plus Messenger использует для этого переводчик «Яндекса», а Nekogram — китайские сервисы. Кроме того, в Nekogram исследователи столкнулись с обфускацией
  , что усложнило аудит.
• Лишь два клиента — Forkgram и Mercurygram — можно назвать относительно безопасными. На момент проведения исследования они не передавали данные пользователей третьим сторонам.

А что с безопасностью у оставшегося восьмого клиента? Альтернативный клиент Telegram X попал в особую категорию. Сам он относительно безопасен и попадает в ту же категорию рисков, что Forkgram и Mercurygram. Эксперты отмечают, что у него даже меньше трекеров, чем у официального телеграма.
Однако в ходе исследования обнаружилось приложение (возможно, китайского происхождения), которое маскируется под Telegram X. Но фактически это троян, который крадет сессию телеграма и может полностью захватить аккаунт пользователя. Это даже более опасный тип угрозы, нежели установка ненадежного приложения, отправляющего данные на серверы в РФ.

То есть сторонние клиенты вообще нельзя использовать? Эксперты рекомендуют использовать только официальный клиент, так как только он проходит регулярный аудит сообщества. Для этого установите себе и близким надежный VPN.
Альтернативные же клиенты, даже если безопасны на момент проверки, могут в любой момент измениться без ведома пользователя. Это стоит учитывать при загрузке и устанавливать их с осторожностью. И обязательно через официальные магазины, где приложения проходят проверку, а не в виде сторонних APK-файлов
. Это снизит риск того, что вы скачаете троян.