Группировка APT37, которую также называют ScarCruft и Ricochet Chollima, адаптировала свой шпионский бэкдор BirdCall под мобильные устройства на Android. Ранее этот вредонос существовал только для Windows, но теперь злоумышленники используют его для слежки за владельцами смартфонов.
- Вредонос BirdCall для Android распространяется через зараженные игры.
- Вирус крадет контакты, SMS, историю звонков, геолокацию и делает скриншоты.
- Атаки начались с октября 2024 года, обнаружено как минимум семь вариантов программы.
- Цель хакеров — слежка за жителями китайского региона Яньбянь, где проживает много этнических корейцев.
Заражение через игры и возможности вируса
Злоумышленники взломали платформу sqgame, где размещаются игры для Android, iOS и Windows, и подменили установочные APK-файлы. Пользователи, скачивающие игры напрямую с сайта, получают вместе с ними шпионское ПО. При этом iOS-версии остались нетронутыми — под ударом только владельцы Android и Windows.
Специалисты ESET выяснили, что разработка мобильной версии BirdCall стартовала примерно в октябре 2024 года. С того момента хакеры создали минимум семь модификаций вредоноса. После установки программа получает доступ к контактам, SMS, журналу звонков, IMEI, MAC-адресу и данным о сети. Вирус также определяет геопозицию жертвы и отправляет технические параметры устройства на управляющие серверы.
Чем мобильная версия отличается от Windows
Вредонос регулярно делает снимки экрана и записывает окружающий звук через микрофон в вечерние часы (с 19 до 22 часов). Чтобы система не остановила принудительно его процессы, BirdCall проигрывает «тихий» MP3-файл в бесконечном цикле.
Однако мобильная версия пока уступает Windows-варианту. На компьютерах бэкдор умеет перехватывать нажатия клавиш, воровать данные из буфера обмена, выполнять команды оболочки, проксировать трафик и удалять файлы. На Android эти функции отсутствуют.
Цели атаки и история группировки
Исследователи связывают кампанию с желанием следить за жителями китайского региона Яньбянь, который граничит с КНДР и где проживает крупная корейская диаспора. Через этот регион часто проходят перебежчики из Северной Кореи. Вероятно, хакеры нацелены именно на них, а также на правозащитников и журналистов.
Группировка APT37 действует как минимум с 2012 года и, по данным экспертов, связана с правительством КНДР. За это время хакеры использовали множество инструментов для кибершпионажа: THUMBSBD, KoSpy, M2RAT, Dolphin и другие.
Мнение редакции Mr.Android
Ситуация с BirdCall — очередное напоминание о том, что скачивание приложений из сторонних источников остается главным вектором заражения. Даже если сайт выглядит легитимно и предлагает популярные игры, за ними может скрываться шпионский софт. Google Play не дает стопроцентной гарантии, но вероятность нарваться на вредонос там в разы ниже. Если игра доступна только на сомнительном сайте — лучше пройти мимо.
