原报告链接：
https://thebadinteger.github.io/nekogram-phone-exfiltration/

安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2（Google Play 版）内置后门代码，会在用户不知情的情况下收集所有已登录账号的手机号，并通过 Inline Query 外传至开发者控制的 Bot（@nekonotificationbot）。

后门代码位于 Extra.java（混淆后为 uo5），核心逻辑：遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。

该后门仅存在于编译发布的 APK 中，GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证，从源码自行编译的版本不含上述后门组件。

开发者回应称 Bot 仅用于"解析用户名"，但代码中明确提取了 phone 字段并使用无痕传输方式，与其说辞不符。