SpyNote | Nível de ameaça: high | Tipo: RAT

Identificadores criptográficos

SHA2569aafbc143c66661609f34c483a85015f30f7da2a38f375d9e10c8eeadc6cb5da
MD50e0d4e1c29c87cad9f6537fbe43b8036
Tipo de arquivoapk
Tamanho4623.5 KB
Primeira detecção2026-02-28
Nome do arquivoTelegram (2).apk
Tagsapk, FakeTelegram, signed, Spynote

Família de malware: SpyNote

SpyNote, Android için RAT'tır.

TipoRAT
Linguagem de programaçãoJava
Plataforma alvoAndroid
Protocolo C2TCP
FinalidadeAndroid RAT
Ano da primeira detecção2019
Outros nomesCypherRAT

Indicadores de ameaça (IOC)

  • SHA256: 9aafbc143c66661609f34c483a85015f30f7da2a38f375d9e10c8eeadc6cb5da
  • MD5: 0e0d4e1c29c87cad9f6537fbe43b8036

Você pode verificar todos os valores de hash desta amostra no VirusTotal.

Guia de limpeza do sistema

  1. Desconecte o sistema da rede — retire o cabo ethernet, desative o Wi-Fi
  2. Encerre processos suspeitos pelo Gerenciador de Tarefas
  3. Faça uma verificação completa do sistema com Malwarebytes ou Kaspersky
  4. HKCU\Software\Microsoft\Windows\CurrentVersion\Run kayıtlarını kontrol edin
  5. Analise as tarefas recém-criadas no Agendador de Tarefas
  6. Altere todas as senhas das suas contas a partir de um dispositivo limpo
  7. Gerekirse Windows'u yeniden yükleyin ve verilerinizi temiz bir yedeğe geri alın

Dicas de regras YARA

rule SpyNote_SHA256 {
    meta:
        description = "SpyNote sample: 9aafbc143c666616"
        threat_level = "high"
        first_seen = "2026-02-28"
    condition:
        hash.sha256(0, filesize) == "9aafbc143c66661609f34c483a85015f30f7da2a38f375d9e10c8eeadc6cb5da"
}

SpyNote — Perfil do malware

SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.

Tipo de malware
RAT
Linguagem de programação
Java
Protocolo C2
TCP
Sistemas-alvo
Android
Também conhecido como (AKA)
CypherRAT

Detalhes técnicos

Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (2 indicadores)

IOC — SpyNote
# SHA256 9aafbc143c66661609f34c483a85015f30f7da2a38f375d9e10c8eeadc6cb5da # MD5 0e0d4e1c29c87cad9f6537fbe43b8036
TipoValorNota
sha256 9aafbc143c66661609f34c483a85015f30f7da2a38f375d9e10c8eeadc6cb5da Sample:SpyNote
md5 0e0d4e1c29c87cad9f6537fbe43b8036 Sample:SpyNote

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
everspy.ru domain — TCP inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
spynoteratmalwarehighsha256hash-analizi