malware-9

RedLeaves (المعروف أيضا باسم RedLeaves Virus) هو حصان طروادة الوصول البعيد (الفئران) التي استخدمت عدة مرات من قبل APT10 (المعروف أيضا باسم الحجر الباندا و HOGFISH) ، مجموعة من مجرمي الإنترنت التي يعتقد أنها الدولة برعاية الممثل مقرها في الصين. اسم هذا التهديد المستمر المتقدمة (APT) المجموعة المتعلقة الهجمات ضد الشركات الكبرى والهيئات الحكومية في النرويج واليابان ، ولكن نشاطهم وصلت عدة مناطق أخرى أيضا. على RedLeaves (المعروف أيضا باسم RedLeaves الفيروس) البرمجيات الخبيثة ، على وجه الخصوص ، كان ينظر أولا في عام 2016 عندما أرسل إلى مختلف الشركات اليابانية التصيد عبر رسائل البريد الإلكتروني. المهاجمين اختارت استخدام النهج الكلاسيكي عن حملة — كانوا الكلي الذي تغلب عليه اسهم مستندات Microsoft Office التي عند فتحها سوف يدفع المستخدم لتمكين تنفيذ وحدات الماكرو. إذا كان هذا يتم منح إذن الوثيقة سوف تكتسب القدرة على تنفيذ الخبيثة الكلي السيناريو الذي بتحميل RedLeaves الحمولة و تنفيذ ذلك.

بعد RedLeaves الفئران تهيئة سيجعل العديد من التغييرات على الضحية آلة للحصول على المثابرة. فإنه يسقط به المكونات الأساسية في المجلد %TEMP% ثم يضيف عدة ‘.LNK’ ملفات ‘بدء التشغيل’ Windows مجلد. في كثير من الأحيان ، مجرمو الإنترنت تختار تعديل Windows التسجيل للحصول على استمرار, ولكن يبدو أن APT10 قررت اتبع طريقا مختلفا.

على RedLeaves الفئران ثم الاتصال عن بعد القيادة والسيطرة (C&C) server باستخدام بروتوكول HTTP لاستخراج المعلومات وتلقي الأوامر. قدرات الفئران ليست كثيرة ، لكنها أكثر من كافية لتمكين لمهاجم بعيد أن يسبب الكثير من الضرر:

عملية تفتيش قريبة من RedLeaves’ شفرة المصدر كشفت العديد من الأمور المثيرة للاهتمام — يبدو أن تشترك في الكثير من أوجه التشابه مع PlugX الفئران Trochilus مفتوح المصدر طروادة الوصول البعيد. PlugX وقد استخدمت سابقا من قبل APT10 المجموعة بحيث أنه لن يكون من المستغرب إذا قرروا إعادة استخدام بعض من القانون القديم.

APT10 النشاط هو ما نسميه يتفق بالتأكيد ، ولكن حملاتها لا ينبغي الاستهانة به على الرغم من ميولهم لوضع لعدة أشهر في وقت واحد. حماية الشبكة الخاصة بك من RedLeaves Trojan يمكن أن يتحقق عن طريق تثبيت السمعة anti-virus software suite.

malware-7

على Cutlet (المعروف أيضا باسم Cutlet الفيروس) الصراف الآلي البرمجيات الخبيثة قد حولها لأكثر من أربع سنوات ، ويعتقد أن تكون واحدة من رئيس الوزراء الخيارات لمجرمي الإنترنت الذين يرغبون في تجربة حظهم في AMT اختطاف. أداة تباع في عدة منتديات القرصنة ، في حين أن سعره مرتفع نوعا ما ، لا يزال هناك الكثير من المجرمين الذين يختارون لاستخدام الملتوية بهم الحملات. Cutlet (المعروف أيضا باسم Cutlet الفيروس), المعروف أيضا باسم Cutlet صانع يأتي مع تعليمات مفصلة باللغة الروسية و الانجليزية و الكتاب شاملا الرصاص على كيفية تجنب الوقوع ، وكذلك كيفية الوصول إلى منفذ USB من جهاز الصراف الآلي نموذج هذه البرمجيات الخبيثة يعمل على (ديبولد Nixdorf.)

تماما مثل العديد من القطع الأخرى من أجهزة الصراف الآلي والبرمجيات الخبيثة ، Cutlet يتطلب الطرفين لتنفيذ الهجوم — واحد منهم يحتاج إلى أن يكون الوصول المادي إلى أجهزة الصراف الآلي لزرع Cutlet البرمجيات الخبيثة, في حين أن الآخر يحتاج إلى الوصول عن بعد إلى القيادة Cutlet. واجهة الصراف الآلي البرمجيات الخبيثة الأساسية بدلا من ذلك — المهاجم يحتاج إلى إدخال رمز خاص (الموردة من قبل البرمجيات الخبيثة البائع ألغراض منح) ، ومن ثم يمكن أن قيادة الجهاز إلى الاستغناء النقدية من أشرطة الكاسيت.

في حين Cutlet محدودة نظرا إلى كونها متوافقة مع واحد فقط خاص الصراف الآلي maker & model, لا تزال تستخدم في روسيا ، أوكرانيا ، جمهورية مولدوفا ، وحتى السويد على نطاق واسع. ليس من الصعب على المؤسسات المالية لحماية أجهزة الصراف الآلي من البرمجيات الخبيثة مثل هذا واحد ، وأحدث الممارسات الأمنية بالفعل تليها شركات كبرى. ومع ذلك ، لا تزال هناك مناطق قديمة مع أجهزة الصراف الآلي البنية التحتية التي هي عرضة هجمات مثل تلك التي تنطوي على Cutlet البرمجيات الخبيثة.

ransom-8

آخر نشط الفدية حملة يظهر استهداف المستخدمين في الفلبين والهند ، على الأقل هذا هو ما على الانترنت الشكاوى من المستخدمين المتضررين تظهر. الفدية المتورطين في الهجوم وقد أعطيت اسم ‘ Truke Ransomware (المعروف أيضا باسم TrukeRansomware), و قد يكون البديل الجديد الشائنة STOP Ransomware الأسرة. للأسف, معظم الإصدارات من وقف الفدية من المستحيل فك تشفير مجانا, و هناك فرصة كبيرة أن هذا أيضا سيكون الحال مع Truke Ransomware (المعروف أيضا باسم TrukeRansomware).

عند تشفير الملفات Trojan يبدأ الهجوم ، وسوف تفحص القرص الصلب في جهاز المستخدم لتشفير محتويات ملف معين أنواع — الوثائق, والمحفوظات, أشرطة الفيديو, قواعد البيانات, الصور, إلخ. الملفات التي تستقر يتم تسميته بإضافة ‘.truke’ التمديد بعد الأصلية امتداد الملف. على سبيل المثال ملف اسمه ‘invoice.xlsx’ أن يسمى ‘الفاتورة.xlsx.truke بعد Truke Ransomware هجوم كامل.

وبطبيعة الحال ، فإن واضعي Truke Ransomware تريد أن تدفع ، وهذا هو السبب في أنها توفر لبيع أداة فك التشفير لجميع الضحايا. مجموعة كاملة من التعليمات وجدت في الفدية ‘_readme.txt,’ الجناة نسأل أن يتم الاتصال عبر البريد الإلكتروني ferast@firemail.cc. نحن نضمن أن التعاون مع الفدية مشغلي هو فكرة رهيبة و أنت من المحتمل أن يكون خدع إذا كنت تختار أن تدفع لهم.

اقتراح المستخدمين المتضررين من Truke Ransomware هو القضاء على تلف ملف التشفير Trojan باستخدام السمعة و تحديث برامج مكافحة الفيروسات الماسح الضوئي. لا ننسى أن إزالة Truke Ransomware هو مجرد حل جزئي ، و سوف لا تزال بحاجة إلى العثور على طريقة التراجع عن الأضرار التي لحقت الملفات الخاصة بك. الطريقة الوحيدة لاستعادة لاستعادة جميع الملفات المغلقة من نسخة احتياطية حديثة. للأسف إذا كان هذا الخيار غير متاح لك ، ثم قد تضطر إلى اللجوء إلى البديل استعادة البيانات الخيارات التي من فرص النجاح أقل بشكل ملحوظ.

malware-6

على Adage Ransomware (المعروف أيضا باسم AdageRansomware) هو ملف التشفير طروادة التي لا تبدو جديدة إلى البرامج الضارة الباحث بالتأكيد — هذا هو لأنه يستند إلى قانون Phobos Ransomware ، أقل شعبية التعرف على فيروس انتزاع الفدية التي لا تزال تظهر بعض النشاط. للأسف ضحايا Adage Ransomware (المعروف أيضا باسم AdageRansomware) قد لا تكون قادرة على الحصول على الملفات مرة أخرى مجانا وذلك بسبب عدم وجود مجانا فك خيارات خاصة هذه الفدية الأسرة.

المهاجمين من المرجح أن نشر Adage Ransomware عبر مختلف الوسائل — البرامج المقرصنة, تنزيل وهمية, وهمية مرفقات البريد الإلكتروني, الخ. فمن المستحسن تجنب تحميل وتشغيل ملفات غير معروفة من الإنترنت, خاصة إذا كنت لا تملك سمعة تطبيق مكافحة الفيروسات لحمايتك. مرة واحدة Adage Ransomware أطلقت ، قد الحصول على العمل من خلال التنقل المستخدم الملفات و تشفير ملف معين صيغ — مستندات Microsoft Office ، أدوبي المشاريع, أرشيف, أشرطة الفيديو, الصور, الأغاني…. الخ كل ملف Adage Ransomware أقفال سوف تغير اسمها إلى إدراج ‘.معرف[الضحية ID].[helpteam38@protonmail.com].القول المأثور’ التمديد. الفدية أيضا سوف يمسح وحجم الظل نسخ ثم إسقاط اثنين فدية الملاحظات عبر ملفات المعلومات.hta ” و ” info.txt.’

أن لا أحد مفاجأة أصحاب Adage Ransomware نسأل أن تدفع في بيتكوين و وعد بتقديم عمل decryptor في المقابل. إلا أننا لا ننصح أن تثق مجهول مجرمي الإنترنت وراء هذا المشروع ، حيث أنه من غير المرجح أنها سوف توفر لك مع أي بيانات موثوقة حل الاسترداد. الطريقة الصحيحة للتعامل مع ملف خزانات استخدام أداة مكافحة البرامج الضارة أداة التخلص من الملفات الضارة, ومن ثم النظر في ملف شرعية خيارات الاسترداد.

ransom-9

على DMO Ransomware (المعروف أيضا باسم DMORansomware) هو تشفير الملفات الخاصة بك في هذا العمل قد نشر مع مساعدة من البرمجيات المقرصنة, وهمية مرفقات البريد الإلكتروني و تنزيل وهمية. هذه ثلاثة من الحيل الأكثر شيوعا التي يستخدمها مجرمو الإنترنت لنشر البرامج الخبيثة بحيث لا يأتي شيء جديد أن DMO Ransomware (المعروف أيضا باسم DMORansomware)’s المؤلفين اختارت استخدام نفس الاستراتيجية. تماما مثل غيرها من الملفات الخزائن ، DMO Ransomware يركز أيضا على التسبب في الكثير من الضرر قدر الإمكان إلى ملفات المستخدم. هذا الأمر يستخدم ملف معقد-خوارزمية التشفير التي تهدف إلى تشفير محتويات مختلف صيغ الملفات — الوثائق, الصور, المحفوظات, أشرطة الفيديو, جداول البيانات ، إلخ. في عام ، DMO Ransomware يركز على عادة تستخدم أنواع الملفات ، ولكن قد تستهدف بعض أكثر غموضا صيغ الملفات كذلك.

الملفات التي DMO Ransomware يأخذ رهينة كما سميت من قبل بما في ذلك الجديدة امتداد الملف — ‘.dmo.’ على سبيل المثال ، إذا كان الملف الأصلي يسمى ‘IMG.png,’ المشفرة نسخ تحمل اسم ‘IMG.بابوا غينيا الجديدة.dmo.’ بالإضافة إلى هذه التغييرات إلى نظام الملفات ، DMO Ransomware أيضا تأكد من وضع اللمسات الأخيرة على الهجوم من خلال خلق ‘HOW_TO_RETURN_FILES.txt’ الملف الذي يحتوي على رسالة من المهاجمين.

كما هو متوقع من الكتاب DMO Ransomware تقديم شرح موجز من التهديد الإجراءات ، ووعد بتقديم كل الضحايا مع decryptor طالما هم على استعداد للتعاون ودفع فدية مقابل رسوم. مبلغ من المال أن DMO Ransomware الكتاب يبحثون عن لم يحدد ، لكنها لا تحدد أن البت كوين هو فقط طريقة الدفع التي تستخدمها. كما أنها تزود البريد الإلكتروني dmo9o4zb@protonmail.com لمزيد من الاتصال.

في محاولة للحصول على برامج فك التشفير من مرتكبي فكرة سيئة لأنها لن تساعدك إلا إذا كنت تدفع لهم. حتى إذا اخترت لإتمام عملية الدفع ، سيظل هناك أي ضمان بأنه سوف تبقى جزءا من الصفقة. أن أفضل شيء نفعله عندما الملفات الخاصة بك قد تم رهينة جديدة الفدية مثل هذا واحد هو تشغيل موثوق مكافحة الفيروسات التي سوف تتعامل مع تدخلي ملف خزانة. بعد هذا يجب أن إما الانتظار decryptor للحصول على صدر أو محاولة الخروج البيانات البديلة خيارات الاسترداد.

ransom-8

تشفير الملفات أحصنة طروادة لا تزال واحدة من الأكثر انتشار على نطاق واسع من تهديدات الإنترنت حتى في 2019 — بالتأكيد ليست مفاجأة بالنظر إلى كيف يمكن الوصول إليها فهي أن المجرمين الإلكترونيين ، ومدى كفاءة يمكن أن يكون عندما يتعلق الأمر بابتزاز ضحاياهم. أحدث ملف الخزانة التي رصدت في البرية هو Middleman2020 Ransomware (المعروف أيضا باسم Middleman2020Ransomware) ، وهو التهديد الذي يظهر إلى مشاركة العديد من أوجه التشابه مع Maoloa Ransomware أن شوهد في وقت سابق من هذا العام.

على Middleman2020 Ransomware (المعروف أيضا باسم Middleman2020Ransomware) هو قادرة على ضرب بسرعة وكفاءة — إذا كنت تشغيله على جهاز الكمبيوتر الخاص بك في ثوان معدودة ، سوف يجري في نهاية المطاف غير قادر على الوصول إلى العديد من الملفات الخاصة بك. هذا التهديد يبرع في تشفير أجزاء كبيرة من المستندات وجداول البيانات, الصور, أشرطة الفيديو, أرشيف, وغيرها من أنواع الملفات التي يمكن للمستخدمين من المحتمل أن تعمل مع على أساس يومي. بالإضافة إلى العبث بمحتوياتها ، Middleman2020 Ransomware سيتم أيضا تعديل اسم الملف الأصلي بواسطة إلحاق ‘.middleman2020′ التمديد.

على Middleman2020 Ransomware لا ينتهي عملها عن طريق تشفير ملفات المستخدم — أنه سيتم أيضا محاولة للقضاء ظل حجم النسخ العثور على الضحية آلة. يتم ذلك لمنع استعادة البيانات البرمجيات من أن تكون قادرة على إصلاح الضرر الذي وقع على ملف locker كان قادرا على أن يسبب. بالإضافة إلى كل هذه المهام ، Middleman2020 Ransomware سيتم أيضا إنشاء الفدية ‘!INSTRUCTI0NS!.txt’ الذي تم العثور على الضحية سطح المكتب. يحتوي هذا الملف على بيانات الاتصال ومعلومات الدفع أن يطلب من الضحية أن تستخدم إذا كانوا يرغبون في استعادة الوصول إلى الملفات الخاصة بهم.

المهاجمين لم تحدد كم Bitcoins أنهم يتطلعون إلى الحصول في مقابل decryptor ، بدلا من ذلك ، فإنها تطلب من الضحية أن رسالة لهم في middleman2020@protonmail.com أو middleman2020@tutanota.com لمزيد من التعليمات. نحن ننصح أن تجاهل الطلبات من المهاجمين للبحث عن الحلول التي لا تتطلب منك أن تتعاون مع الفدية الكتاب. اقتراحنا هو أن إدارة مكافحة البرامج الضارة الماسح الضوئي ، والذي سوف يساعدك مع إزالة Middleman2020 Ransomware ملفات ولذلك ومنعه من التسبب في مزيد من الفوضى. ثم يجب أن تحاول الحصول على بعض الملفات الخاصة بك مرة أخرى عن طريق استعادة من نسخة احتياطية أو باستخدام مناسبة استعادة البيانات المرافق.

adware-5

على Cephalo Ransomware (المعروف أيضا باسم CephaloRansomware) يبدو أن تشترك في الكثير من أوجه التشابه مع مفتوح المصدر ملف الخزانة المعروفة باسم ‘HiddenTear.’ الغرض الأصلي من HiddenTear المشروع إلى جعل المبرمجين مألوفة مع مفهوم الفدية ونرى كيف يعمل في الداخل. غير أن صاحب البلاغ من HiddenTear المشروع نسيت شيء واحد مهم — أي مفتوحة المصدر التهديدات الإلكترونية المنشورة على شبكة الإنترنت لا بد أن تكون المستخدمة من قبل مجرمي الإنترنت. للأسف الحال مع HiddenTear هو بالضبط مثل ذلك ، وقد تم استخدامه لإنشاء قائمة طويلة من تشفير الملفات وأحصنة طروادة ، Cephalo Ransomware (المعروف أيضا باسم CephaloRansomware) من المرجح أن يكون واحدا منهم.

والخبر السار هو أن Cephalo Ransomware هو في الواقع نسخة معدلة من HiddenTear خلع الملابس, ثم فمن المحتمل جدا أن الضحايا قد تكون قادرة على الاعتماد على decryptor لمساعدتهم على الحصول على الملفات مرة أخرى. إذا كنت تعتقد أنك قد أصبحت واحدة من Cephalo Ransomware ضحايا ، ثم نقترح عليك محاولة استخدام الحرة ‘HiddenTear Decryptor’ لمعرفة ما إذا كان يمكن الحصول على الملفات الخاصة بك مرة أخرى إلى وضعها الطبيعي.

عندما Cephalo Ransomware أطلقت على الكمبيوتر ، قد تبدأ في العمل في الخلفية و تشفير المستخدم الملفات المهمة مثل ملفات Microsoft Office ، أدوبي المشاريع, المحفوظات, الصور, أشرطة الفيديو, الخ. فإنه يمثل أيضا أسماء جميع الملفات المشفرة مع ‘.ceph امتداد ويسقط ‘_READ_ME_.txt الملف يحتوي على ملف فك تشفير التعليمات.

الأخبار السيئة هي أن التعليمات المقدمة من قبل الجناة غير مكتملة ، وهم فقط على استعداد لتقديم مجموعة كاملة من التعليمات مقابل المال. على وجه الدقة, أنها تريد أن تدفع 125 دولار عن طريق بيتكوين عن decryptor. وغني عن القول ، يجب عدم قبول هذا العرض لأنه ليس هناك أي وسيلة الاتصال المهاجمين, كما أنها لا تقدم أي ضمان أن تحصل على ما تدفعه مقابل. بدلا من محاولة العمل مع مجرمي الإنترنت, تشغيل برنامج مكافحة الفيروسات للتخلص من Cephalo Ransomware ثم حاول استخدام HiddenTear decryptor أو البديلة تقنيات استعادة البيانات.

ransom-4

Cryptocurrency التعدين الخبيثة كانت شعبية بين مجرمي الإنترنت في السنوات القليلة الماضية — هذه ليست مفاجأة بالنظر إلى أنها يمكن أن تعطي لهم القدرة على توليد عدد كبير من مختلف cryptocurrencies قبل حصاد قوة المعالجة من الضحايا البريئة. ومع ذلك ، فإن المجرمين المتورطين في مثل هذه الحملات تركز عادة على إصابة Windows الأنظمة المستندة لأنها أكثر انتشارا — ومع ذلك ، Bird Miner (المعروف أيضا باسم BirdMiner) البرمجيات الخبيثة هي مختلفة جدا في هذا الجانب. ويستهدف OSX الأجهزة حصرا ، فإنه يستخدم الصمت لينكس المحاكي لتمكين التعدين برامج تشغيل على الجهاز المصاب.

الباحثون أولا رصدت الخبيثة منجم في نسخة مقرصنة من الموسيقى الشعبية إنتاج برمجيات أنه متوافق فقط مع نظام تشغيل أبل. قد لا تكون مصادفة أن Bird Miner (المعروف أيضا باسم BirdMiner)’s المؤلفين باستخدام محددة البرامج المقرصنة لتوزيع البرامج الضارة بهم منذ هذه البرامج تميل إلى أن تكون جائعا موارد الأجهزة ، فمن المرجح أن المستخدمين سوف يكون الراقية وحدات المعالجة المركزية التي هي كبيرة cryptocurrency التعدين المهام.

OSX القراصنة الذين يختارون لتحميل واحدة من نسخ غير قانونية المصابين Bird Miner قد لا تلاحظ أي شيء خارج عن المألوف — البرنامج المثبت يعمل بشكل جيد ، المقرصنة المنتج هو للاستخدام. ومع ذلك ، ما قد يكون غير معروف هو أن المثبت أيضا بصمت نشر Bird Miner الملفات إلى النظام المختلفة و المجلدات المؤقتة باستخدام عشوائيا من الأسماء.

على Bird Miner يضم العديد من المكونات التي تخدم أغراض مختلفة:

على Bird Miner أيضا يجعل التغييرات اللازمة للحصول على استمرار ، وبالتالي ضمان الافتراضية بيئة لينكس و XMRig منجم سوف تبدأ عندما للخطر المضيف هو تمهيد.

في حين تستهدف OSX أجهزة مبتكرة إلى حد ما عندما يتعلق الأمر cryptocurrency المناجم ، ولا جدال في أن واضعي Bird Miner اختارت صاخبة جدا طريقة — البرمجيات الخبيثة يترك الكثير من بقايا الملفات والعمليات أي شبه من ذوي الخبرة يجب أن يكون المستخدم قادرا على بقعة ظليلة العملية يحدث وراء الكواليس. وعلاوة على ذلك, أي برامج مكافحة الفيروسات السمعة OSX ينبغي التعرف بسهولة والقضاء على Bird Miner.

ransom-7

على SystemCrypter Ransomware (المعروف أيضا باسم SystemCrypterRansomware) هو ملف الخزانة التي لم تكن مرتبطة بأي سابقا الفدية المشاريع ، فمن الممكن أن الكتاب قد كتب من الصفر. والخبر السار هو أن خلقهم هو بالتأكيد ليست الأكثر تقدما عندما يتعلق الأمر تشفير الملفات — في حين أنه يمكن أن يسبب الضرر ، البرمجيات الخبيثة الباحثين يعتقدون أن من decryptor عن SystemCrypter Ransomware (المعروف أيضا باسم SystemCrypterRansomware) قد يكون من الممكن. هذا هو بالتأكيد كبيرة الأخبار كما يعني أن المستخدمين المتضررين من SystemCrypter Ransomware هجوم قد لا تحتاج إلى طلب الفدية مشغلي للحصول على مساعدة.

على الرغم من احتمال تعرض من SystemCrypter Ransomware ، يجب أن لا نقلل من هذا الخطر قدرات تحت أي ظرف من الظروف. فإنه يمكن تشفير المحتويات على القرص الصلب الخاص بك بصمت وبسرعة ، وبالتالي ضمان أنك سوف لا تكون قادرة على استخدام الوثائق, الصور, المحفوظات وقواعد البيانات وجداول البيانات وغيرها من الملفات القيمة.

الملفات التي SystemCrypter Ransomware بتشفير تميزت مضيفا ‘.crypted امتداد إلى أسمائهم. وبطبيعة الحال ، فإن الهجوم ينتهي عرض الفدية — واضعي SystemCrypter Ransomware اختارت استخدام برنامج جديد النافذة لهذا الغرض. نافذة بعنوان ‘SystemCrypter v2.40′ يحكي الضحايا التي سوف تحتاج إلى إرسال 0.066 Bitcoin المحفظة هو مبين في الرسالة إذا كانت ترغب في أن تكون قادرا على التراجع عن الأضرار التي لحقت بهم الملفات. وغني عن القول ، يجب عدم قبول العرض كما قد ينتهي المطاف إلى فقدان كل من المال و الملفات الخاصة بك بسهولة.

الآن أفضل شيء نفعله إذا كنت ضحية من SystemCrypter Ransomware هو استخدام السمعة لمكافحة الفيروسات أداة للقضاء على التهديد البرنامج ثم إما الانتظار decryptor أن يطلق سراحه أو ننظر إلى البيانات البديلة خيارات الاسترداد.

adware-5

في أيامنا هذه ، الهواتف المحمولة في كثير من الأحيان قد ينتهي تخزين المزيد من المعلومات الحساسة من أجهزة الكمبيوتر حيث أنه ليس من المستغرب أن العديد من مجرمي الإنترنت استكشاف إمكانية إنشاء الروبوت متوافق مع البرمجيات الخبيثة. هذا هو الحال مع GolfSpy (المعروف أيضا باسم GolfSpy الفيروسات) البرمجيات الخبيثة الجديدة السلالة التي نشطت في الشرق الأوسط — ويستهدف أجهزة أندرويد حصرا. حاليا عدد أكد الالتهابات منخفضة نوعا ما بحيث أنه من الممكن أن GolfSpy (المعروف أيضا باسم GolfSpy الفيروس) البرمجيات الخبيثة قد تستخدم ضد أهداف مختارة بعناية.

الباحثين في مجال الأمن لاحظت بعض التشابه بين السلاسل الوظائف المستخدمة في المنازل هريرة GolfSpy ، مما قد يعني أن نفس المجموعة من المجرمين قد يكون وراء كل هذه الحملات.

GolfSpy من المرجح أن يتم استخدامها من أجل التجسس منذ الميزات الرئيسية هي يعني لاستخراج البيانات من الجهاز المصاب. قائمة كاملة من الميزات المثيرة للإعجاب ، لمهاجم بعيد قد تكون قادرة على الوصول إلى أي البيانات الموجودة على إصابة جهاز الروبوت:

وكان الباحثون قادرين على اعتراض القيادة والسيطرة الخادم أن المهاجمين أيضا استخدام لاستخراج البيانات التي تم جمعها. المعلومات الموجودة هناك بدلا المتعلقة — يبدو أن جزءا كبيرا من المعلومات التي تم جمعها المتعلقة العسكريين.

من المستغرب أن تهدد التطبيقات التي تخفي GolfSpy يتم استضافتها على متجر Google Play أو خدمات مماثلة — بدلا من المرسلين اختارت للتوارث وهمية عبر وسائل التواصل الاجتماعي والرسائل. مع فقط حوالي 660 الضحايا حتى الآن ، GolfSpy حملة صغيرة من حيث الحجم بالتأكيد ، ولكن قد نرى أكثر من نشاط المجرمين قريبا.