Специалисты ESET выяснили, что группа ScarCruft, которую связывают с КНДР, взломала корейскую игровую платформу в китайском регионе Яньбянь и встроила в неё бэкдор BirdCall. Речь идёт о сервисе sqgame[.]net, пишут в Securitylab. Атака, вероятно, началась в конце 2024 года. Злоумышленники изменили компоненты платформы для Android и Windows, но вредоносные APK-файлы распространялись только через страницы загрузки нескольких Android-игр. Версии для iOS, по данным специалистов, затронуты не были. На Windows как минимум с ноября 2024 года обновление одного из компонентов платформы доставляло изменённую DLL-библиотеку. Сейчас этот пакет уже не распространяет вредоносный код. В целом, BirdCall раньше находили главным образом на Windows. Специалисты ESET называют бэкдор развитием RokRAT — инструмента, который ScarCruft давно использует в шпионских кампаниях. За последние годы это семейство адаптировали под macOS и Android, а новая операция показала, что группа продолжает развивать вредоносную платформу и расширять круг целей. На Windows BirdCall делает снимки экрана, записывает нажатия клавиш, крадёт содержимое буфера обмена, выполняет команды и собирает данные с заражённого компьютера. Для связи с операторами бэкдор использует обычные облачные сервисы, включая Dropbox и pCloud, что помогает маскировать вредоносный трафик. Android-версия получила не все функции Windows-варианта, но всё равно подходит для скрытой слежки. Бэкдор собирает контакты, SMS, журналы звонков, медиафайлы, документы, снимки экрана и записи окружающего звука. Для связи с операторами мобильный BirdCall обращается к сервисам pCloud и Zoho WorkDrive.
Северекорейские взломщики встроили бэкдор в магазин мобильных игр
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования