Коротко — причин несколько. Нельзя однозначно сказать без конкретных адресов/портов и дампа трафика, но ниже — что это может быть и как это проверить шаг за шагом.
Возможные причины
- Приложение действительно делает запрос к серверам Telegram (например, интеграция с чат‑ботом/поддержкой, проверка наличия канала, пересылка логов через Telegram Bot API и т. п.).
- Вызов Intent для открытия ссылки t.me или проверки установленного Telegram — это может запускать сетевую активность со стороны самого Telegram-клиента (если тот установлен).
- Сторонняя библиотека/SDK (реклама, аналитика, мессенджер SDK) внутри «Макс» использует IP/хост, который совпадает с адресом в пространстве Telegram или CDN (либо адрес, принадлежащий провайдеру, который использует ту же подсеть).
- Ложное соответствие: IP, который вы видите, помечается как «telegram» в ваших таблицах, но на самом деле это CDN/хостинг (проверьте whois).
- Системная реакция на запуск приложения: broadcast/intents, из‑за которых Telegram (или другое приложение) инициирует соединение.
Что нужно прислать для точного ответа
- Полные IP‑адреса и порты (из capture).
- Название пакета приложения (com....).
- Пример tcpdump/pcap (или скриншот монитора соединений).
- Есть ли на телефоне установлен Telegram? Устройство рутовано?
Как исследовать самому (шаги)
1) Снимите трафик с устройства (лучше в pcap):
- с rooted: adb exec-out "tcpdump -i any -s 0 -w -" > capture.pcap
- без root: использовать VPN‑основанные перехватчики (Packet Capture, tPacketCapture) или запускать приложение в эмуляторе и проксировать через mitmproxy/Charles (установить CA для HTTPS).
2) Посмотрите куда идут SYN: IP и порт. Выполните whois и reverse DNS:
- whois <IP>
- dig -x <IP>
Это покажет, действительно ли адрес принадлежит Telegram (они используют, например, 149.154.160.0/20 и др.).
3) Привяжите соединение к процессу на устройстве:
- на рутованном устройстве: adb shell ss -tnp | grep <IP> или cat /proc/net/tcp с сопоставлением uid -> /proc/<uid>/cmdline
- без root: попробуйте Android Studio Network Profiler (только для дебаг‑версий) или запуск в эмуляторе.
4) Посмотрите SNI / TLS сертификат (если соединение под TLS):
- openssl s_client -connect <IP>:<port> -servername <hostname> (покажет CN/SAN, хостовое имя сервера).
5) Анализ APK:
- скачать APK, открыть в jadx и поискать "telegram", "t.me", "api.telegram.org", IP‑шаблоны или упоминания bot API. Это даст понять, есть ли в коде прямые обращения к Telegram.
6) Логи:
- adb logcat при запуске приложения — можно увидеть сообщения или Intents, которые посылает приложение.
Быстрые проверки/эксперименты
- Временно заблокируйте IP в NetGuard или на роутере — проверьте, влияет ли это на работу приложения.
- Удалите/заблокируйте приложение Telegram и повторите запуск «Макс» — сетевые запросы к тем же IP сохраняются? Если да — это точно «Макс» делает соединение.
- Запустите приложение в эмуляторе и перехватывайте через mitmproxy — увидите хосты и payload.
Что можно сделать если подтвердится нежелательное соединение
- Заблокировать адреса на роутере/файрволе.
- Сообщить разработчикам приложения (с логами и pcap) — возможно, это баг или ненужная интеграция.
- Если в APK обнаружится сторонний SDK, можно потребовать у разработчика убрать его или объяснить цель.
Если хотите — пришлите сюда IP/порт/дамп pcap или хотя бы пакет с SYN и имя пакета приложения. Тогда дам более конкретный разбор и подскажу, является ли это соединением с серверами Telegram или ложным срабатыванием.