Manuel Statik Analiz — SpyNote Android | Tehdit: YUKSEK

Dosya Kimliği

SHA2564b846be26d9038341253870b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıi11111i111.zip (Çekilmiş: classes.dex Android DEX!)
Boyut1.253.870 byte → classes.dex: 5.356.884 byte
String Sayisi28.772

Sahte Kripto Exchange APK

Paket Adı: com.clean.exchanges.xyz — meşru kripto borsası taklidi!
com.clean.exchanges.xyz
-- Android paket ID'si: "clean" prefix + "exchanges.xyz" suffix
-- Kripto yatırımcılarını hedefleyen fake exchange uygulaması
-- .xyz TLD normal Android paket adı değil → şüpheli

Emülatör/Sandbox Tespiti

Genymotion          -- Popüler Android emülatörü tespiti
vbox86p             -- VirtualBox Android (Bluestacks/AVD) tespiti
Emulator detected.  -- Kullanıcıya gösterilen tespit mesajı
this app does not support emulator devices
-- Analistlere dinamik analiz için mesaj (gerçekte tespit ediyor)

Telegram C2

telegram.me
-- Telegram üzerinden C2 komutları
-- Bot Token + Chat ID ile kurban cihazları yönetir

SpyNote Hakkında

SpyNote (SpyMax, CypherRAT), Android için profesyonel RAT builder'dır. Özellikleri: SMS/arama izleme, GPS konumu, kamera/mikrofon erişimi, ekran kaydı, kripto cüzdan çalma, tuş kaydı. Builder'ı çevrimiçi satılıyor ($50-200). 2022-2026 yıllarında Android banking trojan ve kripto lure kampanyalarında yaygın.

IOC

SHA2564b846be26d9038341253870b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Fake Paketcom.clean.exchanges.xyz
C2telegram.me (Telegram Bot)

SpyNote — Malware Profile

SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.

Malware Type
RAT
Programming Language
Java
C2 Protocol
TCP
Target Systems
Android
Also Known As (AKA)
CypherRAT

Technical Details

Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — SpyNote
# DOMAIN exchanges.xyz # DOMAIN telegram.me
TypeValueNote
domain exchanges.xyz
domain telegram.me

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
everspy.ru domain — TCP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
spynoteandroid-ratcom-clean-exchanges-xyzfake-crypto-appgenymotion-detectionvbox86pemulator-detectiontelegram-c2