2026-05-05 00:00
← VoltarO grupo de hackers norte-coreano APT37 vem entregando uma versão Android de um backdoor chamado BirdCall em um ataque à cadeia de suprimentos por meio de uma plataforma de videogame. Embora o BirdCall seja um backdoor conhecido para sistemas Windows, o APT37, também conhecido como ScarCruft e Ricochet Chollima, desenvolveu uma variante para Android que também funciona como spyware. De acordo com pesquisadores da empresa de segurança cibernética ESET, o agente da ameaça criou o BirdCall para Android por volta de outubro de 2024 e desenvolveu pelo menos sete versões. Os ataques observados pela ESET transmitiram o malware por meio do sqgame[.]net, um site chinês que hospeda jogos para Android, iOS e Windows. No entanto, os pesquisadores descobriram que apenas o Android e o Windows são alvo dos ataques do ScarCruft. A plataforma específica atende coreanos na região autônoma de Yanbian, na China, que funciona como ponto de passagem para desertores e refugiados norte-coreanos. Jogos na plataforma comprometida Fonte: spyware ESET BirdCall BirdCall é uma conhecida família de malware associada ao ScarCruft e documentada desde 2021. A versão do Windows pode registrar pressionamentos de teclas, fazer capturas de tela, roubar da área de transferência, exfiltrar arquivos e executar comandos.
A campanha identificada pela ESET apresenta uma versão anteriormente não documentada do BirdCall desenvolvida para Android, que foi entregue através da trojanização de APKs no sqgame[.]net. Versão...
O grupo de hackers norte-coreano APT37 vem entregando uma versão Android de um backdoor chamado BirdCall em um ataque à cadeia de suprimentos por meio de uma plataforma de videogame. Embora o BirdCall seja um backdoor conhecido para sistemas Windows, o APT37, também conhecido como ScarCruft e Ricochet Chollima, desenvolveu uma variante para Android que também funciona como spyware. De acordo com pesquisadores da empresa de segurança cibernética ESET, o agente da ameaça criou o BirdCall para Android por volta de outubro de 2024 e desenvolveu pelo menos sete versões. Os ataques observados pela ESET transmitiram o malware por meio do sqgame[.]net, um site chinês que hospeda jogos para Android, iOS e Windows. No entanto, os pesquisadores descobriram que apenas o Android e o Windows são alvo dos ataques do ScarCruft. A plataforma específica atende coreanos na região autônoma de Yanbian, na China, que funciona como ponto de passagem para desertores e refugiados norte-coreanos. Jogos na plataforma comprometida Fonte: spyware ESET BirdCall BirdCall é uma conhecida família de malware associada ao ScarCruft e documentada desde 2021. A versão do Windows pode registrar pressionamentos de teclas, fazer capturas de tela, roubar da área de transferência, exfiltrar arquivos e executar comandos.
A campanha identificada pela ESET apresenta uma versão anteriormente não documentada do BirdCall desenvolvida para Android, que foi entregue através da trojanização de APKs no sqgame[.]net. Versão trojanizada (direita) vs APK limpo (esquerda) Fonte: ESET A variante Android do BirdCall tem os seguintes recursos: Extrai informações de geolocalização de IP Coleta lista de contatos, registro de chamadas e SMS Coleta sistema operacional do dispositivo, kernel, status enraizado, número IMEI, endereço MAC, endereço IP e informações de rede Envia para C2 informações sobre temperatura da bateria, RAM e armazenamento, configuração de nuvem, versão backdoor e extensões de arquivo de interesse (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a e .p12) Periodicamente faz capturas de tela Grava áudio através do microfone das 19h às 22h, horário local Reproduz um MP3 silencioso em um loop para evitar a suspensão de seu processo Exfiltra arquivos de um diretório especificado A análise da ESET mostra que a versão Android do BirdCall ainda não apresenta todos os comandos presentes na versão Windows. Os recursos ausentes no Android incluem execução de comandos shell, proxy de tráfego, direcionamento de dados de navegadores e aplicativos de mensagens, exclusão e eliminação de arquivos e eliminação de processos. Em sistemas Windows, a cadeia de infecção começa com a instalação de uma DLL trojanizada (mono.dll) que baixa e executa o RokRAT, que então implanta a versão Windows do BirdCall. O ScurCraft é conhecido por usar uma ampla variedade de malware personalizado, incluindo o THUMBSBD, que tem como alvo sistemas Windows com air gap, o malware KoSpy Android que se infiltrou anteriormente no Google Play, o malware M2RAT usado em ataques de espionagem direcionados e o backdoor móvel Dolphin. Para minimizar o risco de infecções por malware, os utilizadores são aconselhados a descarregar software apenas de mercados oficiais e sites de editores confiáveis.