SpyNote | Nível de ameaça: high | Tipo: RAT

Identificadores criptográficos

SHA256e056ffe82465d52687b5b27d28897890c6292a4b784099d718b5abe7f3db56ff
MD5713ae703e3328abc639354d5c7448dfb
Tipo de arquivoapk
Tamanho9773.4 KB
Primeira detecção2025-01-29
Nome do arquivoMediolanum2.0.apk
Tagsandroid, apk, Bank, bank-android-ITA, it-mediolanumbanca-com, ITA, Mediolanum, signed, Spynote

Família de malware: SpyNote

SpyNote, Android için RAT'tır.

TipoRAT
Linguagem de programaçãoJava
Plataforma alvoAndroid
Protocolo C2TCP
FinalidadeAndroid RAT
Ano da primeira detecção2019
Outros nomesCypherRAT

Indicadores de ameaça (IOC)

  • SHA256: e056ffe82465d52687b5b27d28897890c6292a4b784099d718b5abe7f3db56ff
  • MD5: 713ae703e3328abc639354d5c7448dfb

Você pode verificar todos os valores de hash desta amostra no VirusTotal.

Guia de limpeza do sistema

  1. Desconecte o sistema da rede — retire o cabo ethernet, desative o Wi-Fi
  2. Encerre processos suspeitos pelo Gerenciador de Tarefas
  3. Faça uma verificação completa do sistema com Malwarebytes ou Kaspersky
  4. HKCU\Software\Microsoft\Windows\CurrentVersion\Run kayıtlarını kontrol edin
  5. Analise as tarefas recém-criadas no Agendador de Tarefas
  6. Altere todas as senhas das suas contas a partir de um dispositivo limpo
  7. Gerekirse Windows'u yeniden yükleyin ve verilerinizi temiz bir yedeğe geri alın

Dicas de regras YARA

rule SpyNote_SHA256 {
    meta:
        description = "SpyNote sample: e056ffe82465d526"
        threat_level = "high"
        first_seen = "2025-01-29"
    condition:
        hash.sha256(0, filesize) == "e056ffe82465d52687b5b27d28897890c6292a4b784099d718b5abe7f3db56ff"
}

SpyNote — Perfil do malware

SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.

Tipo de malware
RAT
Linguagem de programação
Java
Protocolo C2
TCP
Sistemas-alvo
Android
Também conhecido como (AKA)
CypherRAT

Detalhes técnicos

Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (2 indicadores)

IOC — SpyNote
# SHA256 e056ffe82465d52687b5b27d28897890c6292a4b784099d718b5abe7f3db56ff # MD5 713ae703e3328abc639354d5c7448dfb
TipoValorNota
sha256 e056ffe82465d52687b5b27d28897890c6292a4b784099d718b5abe7f3db56ff Sample:SpyNote
md5 713ae703e3328abc639354d5c7448dfb Sample:SpyNote

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
everspy.ru domain — TCP inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
spynoteratmalwarehighsha256hash-analizi