Кажется, пришло время заклеивать камеру не только на ноутбуке.
Обычная загрузка мобильной игры могла закончиться заражением телефона шпионским ПО. Специалисты ESET выяснили, что группа ScarCruft, которую связывают с КНДР, взломала игровую платформу для этнических корейцев в китайском регионе Яньбянь и встроила в неё бэкдор BirdCall. Речь идёт о сервисе sqgame[.]net, где размещались игры, связанные с местной тематикой.
Выбор площадки выглядит неслучайным. ScarCruft много лет интересуется северокорейскими перебежчиками, правозащитниками и преподавателями университетов. Яньбянь также считается одним из опасных транзитных районов для людей, которые пересекают реку Туманную и покидают КНДР.
Атака, вероятно, началась в конце 2024 года. Злоумышленники изменили компоненты платформы для Android и Windows, но вредоносные APK-файлы распространялись только через страницы загрузки нескольких Android-игр. Версии для iOS, по данным специалистов, затронуты не были. На Windows как минимум с ноября 2024 года обновление одного из компонентов платформы доставляло изменённую DLL-библиотеку. Сейчас этот пакет уже не распространяет вредоносный код.
В целом, BirdCall раньше находили главным образом на Windows. Специалисты ESET называют бэкдор развитием RokRAT — инструмента, который ScarCruft давно использует в шпионских кампаниях. За последние годы это семейство адаптировали под macOS и Android, а новая операция показала, что группа продолжает развивать вредоносную платформу и расширять круг целей.
Мы в MAX. Простите.
На Windows BirdCall делает снимки экрана, записывает нажатия клавиш, крадёт содержимое буфера обмена, выполняет команды и собирает данные с заражённого компьютера. Для связи с операторами бэкдор использует обычные облачные сервисы, включая Dropbox и pCloud, что помогает маскировать вредоносный трафик.
Android-версия получила не все функции Windows-варианта, но всё равно подходит для скрытой слежки. Бэкдор собирает контакты, SMS, журналы звонков, медиафайлы, документы, снимки экрана и записи окружающего звука. Для связи с операторами мобильный BirdCall обращается к сервисам pCloud и Zoho WorkDrive.
ESET обнаружила семь версий Android-бэкдора, самая ранняя датируется октябрём 2024 года. По оценке компании, ScarCruft продолжает дорабатывать инструмент, а сама вредоносная операция нацелена не на массовое заражение игроков, а на наблюдение за конкретными группами людей.