A equipe de pesquisa da ESET descobriu uma campanha de spyware que comprometeu as plataformas de jogos Windows e Android com o objetivo de roubar informações pessoais, documentos, senhas e arquivos de áudio dos usuários. empregador.
Por trás do ataque está o grupo APT ScarCruft, alinhado com a Coreia do Norte, e a região de Yanbian, na China, é o principal alvo, onde existe uma grande comunidade coreana e há desertores e desertores norte-coreanos.
O carro que atacou era um jogo de cartas chamada 延边红十, conhecida em espanhol como Yanbian Red Ten, plataforma que oferece jogos tradicionais da região Yanbian para Windows, Android e iOS e permite competir com amigos ou participar de torneios organizados.
Conforme determinado pela ESET, o cliente Windows da plataforma foi comprometido através de um revisão negativa o que levou à instalação de duas portas traseiras, sistema que permite acesso e controle remoto do sistema. Os jogos Android disponíveis na plataforma são Trojanizados para incluir o backdoor BirdCall, uma ferramenta com amplos recursos de espionagem.
Filip Jurčacko, pesquisador de malware da ESET, explicou o método de distribuição: “Encontramos evidências de que o jogos trojanizados através do navegador do dispositivo e podem tê-los instalado propositalmente.
“Nenhuma outra fonte foi identificada de onde os APKs foram distribuídos. O APK malicioso também não foi encontrado na loja oficial do Google Play”, acrescentou.
Dois dos jogos Android disponíveis no site sqgame foram trojanizados, incluindo o backdoor BirdCall. (Foto da Infobae)
BirdCall é o principal componente do ataque e suas versões Android É muito invasivo. Uma vez instalado, o malware pode coletar contatos, SMS, chamadas telefônicas, documentos, arquivos de mídia e chaves privadas do dispositivo. Ele também tem a capacidade de fazer capturas de tela e gravar sons ambientes sem que o usuário saiba.
Na versão para Windows, os recursos incluem capturas de tela, keylogging e conteúdo da área de transferência, permissões e roubo de arquivos e comandos do sistema.
Para se comunicar com o invasor, o malware usa serviços legítimos de armazenamento em nuvem, como Dropbox ou pCloud, bem como sites comprometidos, dificultando a detecção por meio de sistemas de segurança convencionais.
A investigação da ESET identificou sete versões do BirdCall para Android, da versão 1.0 de outubro de 2024 à versão 2.0 de junho de 2025, indicando que o malware foi desenvolvido ao longo de vários meses.
Sobre quando o site foi acessado pela primeira vez, Jurčacko observou que “é impossível saber quando isso aconteceu, mas com base em nossa análise do malware instalado, estimamos que aconteceu no final de 2024”.
ScarCruft, também conhecido como APT37 ou Reaper, está ativo desde pelo menos 2012. ciberespionagem que os pesquisadores associam à Coreia do Norte e seu principal foco histórico é a Coreia do Sul, embora seu trabalho tenha se espalhado para outros países asiáticos.
O grupo tende a liderar o ataque organização governamental e os militares, empresas de setores que atendem aos interesses da Coreia do Norte e desertores.
A selecção da área Yanbian como alvo desta campanha responde à mesma lógica: é uma área com uma grande população étnica coreana e um ponto de trânsito comum para aqueles que fogem da Coreia do Norte.
