Manuel Statik Analiz — SpyNote Android RAT | Tehdit: KRITIK
파일 Kimligi
| SHA256 | 87def7f445734b4b4f532e46b6b058f5b0f8b74085ef90d812cf83a29c84b4e |
|---|---|
| 파일 Adi | ready.apk |
| Platform | Android APK |
| 크기 | 704.893 byte |
| String Sayisi | 3.204 |
Acik Metin C2 -- DOGRULANMIS
KRITIK IOC: C2 alan adi acik metin olarak tespit edildi.
everspy.ru <-- SpyNote C2 alan adi (ACIK METIN)
Android RAT UI Kaniti
user-select: none; (CSS) webkit-inner-spin (WebKit CSS) -- WebView tabanli Android kontrol paneli HTML/CSS
SpyNote Hakkinda
SpyNote, 2016'dan beri aktif Android RAT ailesidir. Kamera/mikrofon erisimi, GPS konum, SMS/arama kaydi, ekran goruntuleme, uygulama listeleme ve dosya yukleme/indirme ozelligi vardir. .ru domaini uzerinde C2 panel barindirarak Dogu Avrupa/Rusya mensel aktorlerle iliskilendirilmistir.
IOC
| SHA256 | 87def7f445734b4b4f532e46b6b058f5b0f8b74085ef90d812cf83a29c84b4e |
|---|---|
| C2 | everspy.ru |
| Platform | Android APK |
SpyNote — 악성코드 프로필
SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.
악성코드 유형
RAT
프로그래밍 언어
Java
C2 프로토콜
TCP
대상 시스템
Android
다른 이름 (AKA)
CypherRAT
기술 세부 정보
Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — SpyNote
# DOMAIN
everspy.ru
| 유형 | 값 | 메모 |
|---|---|---|
| domain | everspy.ru |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| everspy.ru | domain | — | TCP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.