Исследователи из Flashpoint обнаружили несколько каналов обмена сообщениями в Telegram, которые используются для обмена HTTP-инжекторами, дающими возможность получать бесплатный доступ к мобильному интернету.
Исследовательская фирма выявила всплеск подобной активности в Бразилии, Колумбии и других странах Латинской Америки. Лица, заинтересованные в получении HTTP-инжекторов или обмене ими используют для этого зашифрованные каналы в Telegram. В частности, обнаружен португальский канал, объединяющий 90 000 участников, в котором предлагаются инжекторы, рассчитанные на работу с телекоммуникационными компаниями из Латинской Америки.
Принцип работы HTTP-инжектора заключается в подключении к SSH/Proxy с клиентским заголовком. В Flashpoint заявили, что замечали подключения, которые осуществлялись при помощи устройств с нулевым балансом на SIM-карте. Затем, используя мобильный браузер, устройство подключалось к сайту без данных, избегая подключений к так называемым Captive-порталам, требующих уплаты платежей. Следующим шагом является установление подключения с использованием SSH-прокси, что даёт возможность получать бесплатный доступ к интернету.
«Одной из возможных причин, по которым киберпреступники столь свободно обмениваются файлами HTTP-инжекторов, является желание обеспечить больший охват взломанной инфраструктуры, которая используется в качестве прокси для HTTP- инжекторов, маскируя тем самым их собственные незаконные действия», – говорится в публикации.