SpyNote | Nível de ameaça: high | Tipo: RAT

Identificadores criptográficos

SHA2564f53997faa7a60348ac82ff28c7581b93738ca641db6d887a8a1182bc1ce1712
MD5bc54eabde5eac5637d6e929ccdb87420
Tipo de arquivoapk
Tamanho672.1 KB
Primeira detecção2025-10-31
Nome do arquivoNcell-Update-Your-KYC-Now.apk
Tagsandroid, apk, Bank, malware, Ncell, signed, Spynote

Família de malware: SpyNote

SpyNote, Android için RAT'tır.

TipoRAT
Linguagem de programaçãoJava
Plataforma alvoAndroid
Protocolo C2TCP
FinalidadeAndroid RAT
Ano da primeira detecção2019
Outros nomesCypherRAT

Indicadores de ameaça (IOC)

  • SHA256: 4f53997faa7a60348ac82ff28c7581b93738ca641db6d887a8a1182bc1ce1712
  • MD5: bc54eabde5eac5637d6e929ccdb87420

Você pode verificar todos os valores de hash desta amostra no VirusTotal.

Guia de limpeza do sistema

  1. Desconecte o sistema da rede — retire o cabo ethernet, desative o Wi-Fi
  2. Encerre processos suspeitos pelo Gerenciador de Tarefas
  3. Faça uma verificação completa do sistema com Malwarebytes ou Kaspersky
  4. HKCU\Software\Microsoft\Windows\CurrentVersion\Run kayıtlarını kontrol edin
  5. Analise as tarefas recém-criadas no Agendador de Tarefas
  6. Altere todas as senhas das suas contas a partir de um dispositivo limpo
  7. Gerekirse Windows'u yeniden yükleyin ve verilerinizi temiz bir yedeğe geri alın

Dicas de regras YARA

rule SpyNote_SHA256 {
    meta:
        description = "SpyNote sample: 4f53997faa7a6034"
        threat_level = "high"
        first_seen = "2025-10-31"
    condition:
        hash.sha256(0, filesize) == "4f53997faa7a60348ac82ff28c7581b93738ca641db6d887a8a1182bc1ce1712"
}

SpyNote — Perfil do malware

SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.

Tipo de malware
RAT
Linguagem de programação
Java
Protocolo C2
TCP
Sistemas-alvo
Android
Também conhecido como (AKA)
CypherRAT

Detalhes técnicos

Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (2 indicadores)

IOC — SpyNote
# SHA256 4f53997faa7a60348ac82ff28c7581b93738ca641db6d887a8a1182bc1ce1712 # MD5 bc54eabde5eac5637d6e929ccdb87420
TipoValorNota
sha256 4f53997faa7a60348ac82ff28c7581b93738ca641db6d887a8a1182bc1ce1712 Sample:SpyNote
md5 bc54eabde5eac5637d6e929ccdb87420 Sample:SpyNote

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
everspy.ru domain — TCP inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
spynoteratmalwarehighsha256hash-analizi