Раз ты установил вирусный APK, то варианты могут быть разные.
Не ясно ещё что значит "взлом", ведь конкретные свои действия и конкретный результат ты не описал. Например может ты авторизовался и дал привилегии приложению во время привязки своего телеграм аккаунта. В таком случае произошёл не взлом, а использование твоей авторизации для каких-то целей типа рассылки спама.
Мораль одна - не устанавливать и не авторизовываться в сомнительных приложениях из сомнительных источников.
Глянь как это сделали на сайте Storebot. Бегло взглянув, можно увидеть, что при нажатии "Log in" генерируется специальный ключ, который нужно отправить боту. Общие данные о пользователе бот сможет получить без проблем по API.