O grupo de hackers norte-coreano APT37 tem distribuído uma versão para Android de um backdoor chamado BirdCall em um ataque de supply chain, por meio de uma plataforma de jogos eletrônicos.
Embora o BirdCall já seja um backdoor conhecido para sistemas Windows, o APT37, também identificado como ScarCruft e Ricochet Chollima, desenvolveu uma variante para Android que também funciona como spyware.
Segundo pesquisadores da empresa de cibersegurança ESET, o threat actor criou o BirdCall para Android por volta de outubro de 2024 e desenvolveu ao menos sete versões.
Os ataques observados pela ESET distribuíam o malware por meio do site sqgame[.]net, uma página chinesa que hospeda jogos para Android, iOS e Windows.
No entanto, os pesquisadores descobriram que os ataques do ScarCruft miravam apenas Android e Windows.
A plataforma em questão atende principalmente coreanos da região autônoma de Yanbian, na China, área que funciona como ponto de passagem para desertores e refugiados norte-coreanos.
O BirdCall é uma família de malware associada ao ScarCruft e documentada desde 2021.
A versão para Windows pode registrar teclas digitadas, capturar telas, roubar conteúdo da área de transferência, exfiltrar arquivos e executar comandos.
A campanha identificada pela ESET introduz uma versão até então não documentada do BirdCall desenvolvida para Android, distribuída por meio da adulteração de APKs no sqgame[.]net.
A variante para Android do BirdCall tem as seguintes capacidades:
Extrai informações de geolocalização do IP
Coleta a lista de contatos, o log de chamadas e SMS
Coleta dados do sistema operacional do dispositivo, kernel, status de root, número IMEI, endereço MAC, endereço IP e informações de rede
Envia ao C2 informações sobre temperatura da bateria, RAM e armazenamento, configuração da nuvem, versão do backdoor e extensões de arquivo de interesse (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a e .p12)
Tira capturas de tela periodicamente
Grava áudio pelo microfone entre 19h e 22h, no horário local
Reproduz um arquivo MP3 silencioso em loop para evitar a suspensão do processo
Exfiltra arquivos de um diretório específico
A análise da ESET mostra que a versão para Android do BirdCall ainda não reúne todos os comandos presentes na versão para Windows.
Entre os recursos que faltam no Android estão a execução de comandos de shell, o redirecionamento de tráfego por proxy, a coleta de dados de navegadores e aplicativos de mensagens, a exclusão e o drop de arquivos e a finalização de processos.
Em sistemas Windows, a cadeia de infecção começa com a instalação de uma DLL adulterada, a mono.dll, que baixa e executa o RokRAT, responsável então por implantar a versão para Windows do BirdCall.
O ScarCruft é conhecido por usar uma ampla variedade de malware personalizados, incluindo o THUMBSBD, que mira sistemas Windows isolados da rede, o malware Android KoSpy, que anteriormente chegou à Google Play, o malware M2RAT, usado em campanhas de espionagem direcionada, e o backdoor móvel Dolphin.
Para reduzir o risco de infecção por malware, os usuários devem baixar software apenas de lojas oficiais e de sites de desenvolvedores confiáveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...