Dosya Kimliği
| SHA256 | 4b846be26d9038341253870b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | i11111i111.zip (Çekilmiş: classes.dex Android DEX!) |
| Boyut | 1.253.870 byte → classes.dex: 5.356.884 byte |
| String Sayisi | 28.772 |
Sahte Kripto Exchange APK
com.clean.exchanges.xyz -- Android paket ID'si: "clean" prefix + "exchanges.xyz" suffix -- Kripto yatırımcılarını hedefleyen fake exchange uygulaması -- .xyz TLD normal Android paket adı değil → şüpheli
Emülatör/Sandbox Tespiti
Genymotion -- Popüler Android emülatörü tespiti vbox86p -- VirtualBox Android (Bluestacks/AVD) tespiti Emulator detected. -- Kullanıcıya gösterilen tespit mesajı this app does not support emulator devices -- Analistlere dinamik analiz için mesaj (gerçekte tespit ediyor)
Telegram C2
telegram.me -- Telegram üzerinden C2 komutları -- Bot Token + Chat ID ile kurban cihazları yönetir
SpyNote Hakkında
SpyNote (SpyMax, CypherRAT), Android için profesyonel RAT builder'dır. Özellikleri: SMS/arama izleme, GPS konumu, kamera/mikrofon erişimi, ekran kaydı, kripto cüzdan çalma, tuş kaydı. Builder'ı çevrimiçi satılıyor ($50-200). 2022-2026 yıllarında Android banking trojan ve kripto lure kampanyalarında yaygın.
IOC
| SHA256 | 4b846be26d9038341253870b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Fake Paket | com.clean.exchanges.xyz |
| C2 | telegram.me (Telegram Bot) |
SpyNote — Malware Profile
SpyNote Android RAT (SpyMax/CypherRAT). com.clean.exchanges.xyz sahte kripto. Genymotion vbox86p emulator tespiti. Telegram C2.
Technical Details
Java/Kotlin (Android), bcast receiver persistence, SMS/contact stealer, camera/mic erisim, location tracking, keylogger (Accessibility Service), remote shell, screen record, banking app overlay
Capabilities & Behavior
IOC List (2 indicators)
# DOMAIN
exchanges.xyz
# DOMAIN
telegram.me
| Type | Value | Note |
|---|---|---|
| domain | exchanges.xyz | |
| domain | telegram.me |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| everspy.ru | domain | — | TCP | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.