Manuel Statik Analiz — SpyNote Android RAT | Tehdit: KRITIK

Dosya Kimligi

SHA25687def7f445734b4b4f532e46b6b058f5b0f8b74085ef90d812cf83a29c84b4e
Dosya Adiready.apk
PlatformAndroid APK
Boyut704.893 byte
String Sayisi3.204

Acik Metin C2 -- DOGRULANMIS

KRITIK IOC: C2 alan adi acik metin olarak tespit edildi.
everspy.ru   <-- SpyNote C2 alan adi (ACIK METIN)

Android RAT UI Kaniti

user-select: none; (CSS)
webkit-inner-spin (WebKit CSS)
-- WebView tabanli Android kontrol paneli HTML/CSS

SpyNote Hakkinda

SpyNote, 2016'dan beri aktif Android RAT ailesidir. Kamera/mikrofon erisimi, GPS konum, SMS/arama kaydi, ekran goruntuleme, uygulama listeleme ve dosya yukleme/indirme ozelligi vardir. .ru domaini uzerinde C2 panel barindirarak Dogu Avrupa/Rusya mensel aktorlerle iliskilendirilmistir.

IOC

SHA25687def7f445734b4b4f532e46b6b058f5b0f8b74085ef90d812cf83a29c84b4e
C2everspy.ru
PlatformAndroid APK

SpyNote — Malware Profili

SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.

Malware Tipi
RAT
Programlama Dili
Java
C2 Protokolü
TCP
Hedef Sistemler
Android
Diğer Adlar (AKA)
CypherRAT

Teknik Detaylar

Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — SpyNote
# DOMAIN everspy.ru
TürDeğerNot
domain everspy.ru

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
everspy.ru domain &mdash; TCP inactive &mdash;

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
spynoteandroidapkeverspy-rucleartext-c2webview