ScarCruft 해커가 게임 플랫폼을 통해 BirdCall Android malware를 배포

Source: Bleeping Computer

APT37이 게임 플랫폼 공급망 공격을 통해 BirdCall Android를 배포

북한 해커 그룹 APT37이 비디오 게임 플랫폼을 통한 공급망 공격으로 BirdCall이라는 백도어의 안드로이드 버전을 배포하고 있습니다. BirdCall은 Windows 시스템용으로 알려진 백도어이지만, APT37(ScarCruft 및 Ricochet Chollima라고도 함)은 안드로이드용 변종을 개발했으며 이는 스파이웨어 역할도 합니다.

사이버보안 기업 ESET의 연구원에 따르면, 위협 행위자는 2024년 10월경에 Android용 BirdCall을 만들었으며 현재까지 최소 7개의 버전을 출시했습니다. 이 공격은 Android, iOS 및 Windows용 게임을 호스팅하는 중국 사이트 sqgame[.]net을 통해 악성코드를 전달합니다. ScarCruft 공격은 Android와 Windows만을 표적으로 합니다. 이 플랫폼은 주로 중국 연변 자치주에 거주하는 한국인들을 대상으로 하며, 북한 탈북자와 난민들의 교차점이기도 합니다.

BirdCall 스파이웨어

BirdCall은 ScarCruft와 연관된 악성코드 패밀리로 2021년부터 문서화되어 왔습니다. Windows 버전은 키 입력 기록, 스크린샷 촬영, 클립보드 데이터 탈취, 파일 유출, 명령 실행 등을 수행할 수 있습니다.

ESET이 식별한 이번 캠페인은 sqgame[.]net에서 APK를 트로이 목마화하여 전달되는, 이전에 문서화되지 않은 Android 버전의 BirdCall을 소개합니다.

기능

• IP 지리 위치 정보 추출
• 연락처 목록, 통화 기록, SMS 수집
• 디바이스 OS, 커널, 루트 상태, IMEI, MAC 주소, IP 주소 및 네트워크 정보 수집
• C2에 배터리 온도, RAM, 저장소, 클라우드 구성, 백도어 버전, 관심 파일 확장자(.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a, .p12) 전송
• 주기적으로 스크린샷 촬영
• 현지 시간 오후 7시부터 10시까지 마이크를 통해 오디오 녹음
• 프로세스 정지를 방지하기 위해 무음 MP3를 루프 재생
• 지정된 디렉터리에서 파일 유출

ESET의 분석에 따르면 Android 버전은 아직 Windows 버전에 포함된 모든 명령을 지원하지 않습니다. Android에서 누락된 기능에는 셸 명령 실행, 트래픽 프록시, 브라우저 및 메신저 앱 데이터 대상 지정, 파일 삭제 및 드롭, 프로세스 종료 등이 있습니다.

감염 체인 (Windows)

Windows 시스템에서는 트로이 목마화된 DLL(mono.dll)이 설치되어 RokRAT을 다운로드 및 실행하고, 이후 Windows 버전의 BirdCall이 배포되는 방식으로 감염이 진행됩니다.

기타 ScarCruft 악성코드

ScarCruft는 다양한 맞춤형 악성코드를 사용하는 것으로 악명 높으며, 주요 사례는 다음과 같습니다:

• THUMBSBD – 에어갭된 Windows 시스템을 표적으로 함
• KoSpy – 이전에 Google Play에 침투한 Android 스파이웨어
• M2RAT – 표적 스파이 활동에 사용됨
• Dolphin – 모바일 백도어

완화 방안

악성코드 감염 위험을 최소화하려면 사용자는 공식 마켓플레이스와 신뢰할 수 있는 퍼블리셔 사이트에서만 소프트웨어를 다운로드해야 합니다.