Деанон и перехват сообщений: как мод DoxGram для Telegram разводит школьников в TikTok

Деанон пользователя в один клик, слежка за чужими чатами и глобальная DDoS-атака по запросу — прямо в Telegram. Что? Такие эксклюзивные функции «предлагает» нашумевший DoxGram, всемогущий мод, который за последние пару месяцев фантастически раскрутился в социальных сетях среди зумеров. История началась с хайпа в TikTok: превратившийся в тренд кастом для «тёмных дел» распространялся в закрытом и платном формате, но подросткам хватило нелепых фейковых видео, чтобы поверить, что интернетом можно так легко управлять. Дальше обман продолжился в виде цунами бутафорских Telegram-каналов и пабликов «ВКонтакте», где «тот самый клиент» продаётся в среднем от 300-500 рублей с периодическими скидками для пущей убедительности. И вот в январе-феврале появляются «реальные» форки DoxGram на основе AyuGram, exteraGram или Cherrygram. Вспыхнула новая волна.

Что «обещают» в DoxGram (?!):

• докс (деанон и слив личных данных);
• деф (защищает профиль от докса);
• перехват (проверка, с кем переписывается человек);
• заход на чужую сессию (вход в чужой профиль);
• cнос аккаунта Telegram, соцсетей, SIM-карты;
• накрутка (через бота, ведущего на скамный сайт);
• массовый репорт (блокировка пользователя);
• выдача соцсетей и адресов по номеру телефона;
• полный паспорт автомобиля по госномеру;
• поиск по утекшим в сеть паролям.

Мне стало интересно проверить, что происходит, и написать разоблачение. Зафиксировал две активных группы доксграмеров. В январе загадочное лицо опубликовало DoxGram в том числе здесь на Трешбоксе. Предположительно в качестве базы выступает AyuGram (исходя из имени пакета radolyn), тем не менее за разблокировку хакерских фишек просят баснословные деньги. Cпойлер — авторизоваться в фейк-моде не посчастливилось. Его авторы тусуются только в Telegram и уверяют, что оригинальный DoxGram из тиктоковских видео был скамом и провокацией чистой выгоды ради, однако заявляют аналогичный набор функций, буквально один в один. Более того, антивирусная проверка Трешбокса показала наличие вредоносного кода в APK — комментарии ожидаемо заполонили жалобы о троянах и вирусах, и модераторы заблокировали пост и его автора.

В конце февраля другая шайка запустила маркетинговый лендинг и мгновенно приступила форсить костыльно перекроенный Cherrygram под маской DoxGram, играя по-крупному. Там набор функций поприземлённее и пореалистичнее, но открывают желанный теневой доксинг некие «партнёры» через систему индивидуальных кодов. Вкратце, неистовый скам. Думаю, крепких фактов набралось достаточно, хотя, конечно, каждый делает свои выводы из ситуации.

Ред флаг: DoxGram не представлен в Google Play, кода нет на GitHub

DoxGram являлся неописуемо секретным и приватным: «товар отправлялся» за выполнение определённого платёжа (да-да, точно не развод). Продажам помогали репосты и сарафанное радио. Ни разу не подозрительно, что новые DoxGram на лайте раздают бесплатно через публичные Telegram-каналы. Ладно, такой путь выбирают многие кастомные клиенты, правда, у серьёзных имеется репозиторий на платформе GitHub, в исключительных случаях — даже полноценное размещение в магазине Google Play со всеми вытекающими. У особенного DoxGram нет ни первого, ни второго. Огромный репутационный минус.

Совершенно непонятно, каким образом DoxGram собирает, обрабатывает, передаёт личные данные и защищает ли их каким-либо образом вообще. На какие сервера отправляются ваши имя, номер телефона и переписки? Что занесёт DoxGram с собой в устройство после установки? Бэкдор? Не активируется ли тайная запись экрана после открытия приложения? Вопросов больше, чем ответов. Зарегистрированные разработчики обязаны ссылаться на политику конфиденциальности непосредственно в Google Play, где сообщается о принципах безопасности, правах пользователя и условиях обслуживания. На GitHub публикуются контакты ответственной команды и исходный код программного обеспечения, с которым может ознакомиться любой желающий, узнать о функциях и реализации фирменных API мессенджера. К DoxGram подобное не относится.

В подтверждение наличия опасности по теме выше. На vc.ru провели исследование DoxGram для Windows, установочный пакет скачали из «официального канала». Пробный запуск состоялся в конфиденциальной песочнице (изолированная среда Sandboxie). После «загрузки основных библиотек» файл закрылся — поведение стандартного трояна. Увы и ах.

Согласно автору, Windows-клиент пытался:

• защитить себя от удаления;
• создать неизвестные системные службы;
• изменить разделы реестра;
• запросить конфиденциальные параметры;
• передать данные на сторонние сервера;
• внедрить в систему майнер.

На момент разбора масштабов проблемы DoxGram уже заблокирован на Трешбоксе, но остаётся доступным на сомнительных площадках, а также в десятках Telegram-каналов, созданных для непыльного заработка. Советую никуда не лезть и не скачивать подозрительные файлы из ненадёжных источников. Помогите себе и остальным — отправляйте жалобы в поддержку Telegram. Исчерпывающая информация о DoxGram собрана в статье.

Пустые релизы и описания, фейк-скриншоты. Выдумка для хайпа

Рассказать о биографии DoxGram не получится, потому что она отсутствует от слова совсем. Проще сказать «миф», что, по сути, правда. У мода бесконечное количество названий — JGram, NoxGram, Hakogram, Ninjagram, Morphogram, MorphoDox, InfoGram, Angelgram (из тех, что нашёл). На различных сайтах вместо нормального описания вы встретите сплошь воду типа «лучший и популярный мод телеграмм», «теневой телеграмм» или «мод со множеством дополнительных функций». О чём говорится? Premium-функции бесплатно и режим призрака давно существуют в AyuGram (собственно, на чём и «базируется» один из доксграмов). Кроме кринжового пиара на противозаконных и на самом деле несуществующих функциях, DoxGram не отличается от AyuGram. Поделка от умельцев с сайтом, опять же, скучный проходняк на фоне AyuGram — тупо вставили в Cherrygram липовый доксинг для СБОРА данных.

Если вдруг попадётесь на скриншоты DoxGram, включайте голову и игнорируйте дурацкие пункты «Получить IP и номер телефона», «Удалить аккаунт пользователя», «Получить архив с переписками», «Украсть криптовалюту», «Взлом аккаунта». Фотошоп, причём достаточно заметный. Telegram не умеет даркнетить, проходим мимо! Отдельная смехопанорама, когда тяп-ляп отфотошопленное iOS-приложение Telegram (с фирменным дизайном) выдают за DoxGram для Android и скидывают «.apк». Почему люди до сих пор ведутся и торопятся переводить деньги? К слову, кланы DoxGram принимают и рубли, и доллары, и крипту, и цифровые NFT-активы, и звёзды Telegram. Мошенники держат руку на пульсе современных технологий, нужно быть сто раз начеку.

Вести практическую разработку и постоянно обновлять клиент, естественно, не в интересах доксграмеров. Недобросовестные «разработчики» занимаются лишь имитацией бурной деятельности: общаются с аудиторией, задают вопросы, объявляют распродажи, проводят скамные розыгрыши через вредоносных ботов, постят странные ссылки, анонсируют якобы даты релиза и всячески подогревают внимание криво нарисованными картинками, как выглядит божественный DoxGram и как кто-то его купил. Пошёл поменял заголовок в AyuGram и вот тебе, пожалуйста, DoxGram.

Однотипные отзывы от анонимов — ноль пруфов и достоверности

Читать отзывы про DoxGram скучно и весело одновременно. При целенаправленном поиске встретятся скорее подростки, поголовно спрашивающие «а как скачать доксграм?», поэтому анекдотичные отписки с одинаковыми оборотами определённо не кажутся фальшивыми. Учитывая, что лжеобновления переносятся и в итоге не выходят из-за искусственных причин (неполадки с кэшем 😅), тестировщики с закрытыми профилями по приколу пишут о «постоянных обновлениях» и удобно отмечают «не скам». Классические «доксграм лучший проект», «всё чётко», «мод не лагает» и «приложение имба» также в наличии.

Лицезрел и более рассудительные, ура. Например, кто-то пишет, что DoxGram (форк-версия AyuGram) банально не поддерживает отображение иконки — подтверждаю. Внутренней иконки Android как минимум должно хватить на повод для сомнений. Кто-то боится кражи номера или удаления аккаунта. Вполне обоснованно, ведь за DoxGram скрываются бессовестные самозванцы с единственным намерением забирать деньги у каждого поверившего в чудо-мод.

Доксеры не стесняются открыто рекламировать скам за крупные суммы

Зашёл в Telegram-канал по ссылке мода, дождавшегося бана на Трешбоксе. Наткнулся на несколько любопытных моментов. Обновление DoxGram сейчас якобы «временно в разработке», кстати как и у второго клиента (типичный отвлекающий манёвр). Куда занимательнее звучат запретные функции — у обоих они анонсированы в специальной ветке форума. Администраторы спокойно продают очевидный скам и, удивительно, сеть расширяется. По моим наблюдениям, за время подготовки материала (5 дней) количество подписчиков выросло на 3-5 тысяч, а объём сообщений в группе достигает десятков тысяч ежедневно. Большинство из них лютый спам, но там часто просят помочь обрушиться с кибератаками на «обидчиков».

Внедрить столько абсурдного в Telegram официальными и неофициальными способами невозможно! Мало того, что список звучит абсолютно бредово и бездоказательно, для заявленных функций требуется ещё и «проходить верификацию личности», то есть не иначе как деанонить себя собственноручно сразу на старте! Об этом упоминается в одном из каналов DoxGram в посте от администратора, но в чём заключается процесс верификации — ни коим образом не уточняется.

Цены стартуют от скромных 350 рублей и заканчиваются на ошеломляющей отметке в 16 000 рублей. Некоторые сверхразумы (в плохом смысле слова) толкают подписку за 2-3 тыс. рублей в день. Да, шок. Речь идёт совсем не о мелком мошенничестве — мнимая престижность DoxGram позволяет ему невероятно вируситься и увеличивать базу жертв.

Модератор DoxGram обвинил Трешбокс во встраивании вирусов

Как защитить фейковый скам-мод от потенциальных претензий и обвинительных нападок? Перевести стрелки на авторитетный портал с многомиллионной посещаемостью. Нелогичный ход. Казалось бы, Трешбокс разрешает пользователям свободно публиковать приложения и игры на сервере — доксграмеры воспользовались возможностью продвинуться в топ поиска и после того, как в результате сканирования Virustotal в файле вскрылись подозрительные модификации, не постыдились указывать подписчикам, что, оказывается, Трешбокс лично вирусы подсовывает. После волны негативных комментариев DoxGram удалили.

Глядя на рассадник зла и деморализации, организованный сектой DoxGram, честно говоря, становится страшно. Несмотря на то, что практически всё вокруг примитивного проекта указывает на тотальный скам, активность комьюнити не перестаёт расти. «Представители» доксграма демонстрируют неадекватное поведение, жёстко ругаются матом, банят неугодных, продают воздух и никого поразительные злодеяния не смущают. Похоже, в погоне за хайпом и воистину сумасшедшими трендами аналитическое мышление исчезает, люди готовы творить беспредел.

Призываю позаботиться о цифровой гигиене, не окунаться в эту бездну токсичности и вместо лишних действий попытаться способствовать оперативной блокировке доксграмных каналов. Последствия могут быть печальными и необратимыми. В конце концов, шарлатанство и введение в заблуждение посредством Telegram не ограничиваются именно DoxGram — следите, в какие каналы вступаете, глубоко изучайте сторонние клиенты и будьте строго внимательны в отношении приложений с приставками «взлом», «мод» и «премиум».