ScarCruft 黑客通过游戏平台投放 BirdCall Android 恶意软件

Source: Bleeping Computer

APT37 通过游戏平台供应链攻击投放 BirdCall Android

朝鲜黑客组织 APT37 通过视频游戏平台的供应链攻击投放了名为 BirdCall 的 Android 版后门。虽然 BirdCall 已是已知的 Windows 系统后门，APT37（亦称 ScarCruft 与 Ricochet Chollima）已开发出一个兼具间谍软件功能的 Android 变种。

据网络安全公司 ESET 的研究人员称，威胁行为者在 2024 年 10 月左右创建了 Android 版 BirdCall，并已发布至少七个版本。攻击通过 sqgame[.]net——一个托管 Android、iOS 与 Windows 游戏的中国站点——投放恶意软件。ScarCruft 攻击仅针对 Android 与 Windows 系统。该平台主要服务于中国自治州延边的韩裔用户，是朝鲜逃亡者和难民的过境点。

BirdCall 间谍软件

BirdCall 是与 ScarCruft 关联的恶意软件家族，自 2021 年起已有文献记载。Windows 版能够记录键盘输入、截取屏幕、窃取剪贴板数据、外泄文件并执行命令。

ESET 识别的此次活动引入了此前未记录的 Android 版 BirdCall，通过在 sqgame[.]net 上篡改 APK 实现投放。

功能

• 提取 IP 地理位置信息
• 收集通讯录、通话记录和短信
• 收集设备操作系统、内核、是否已 root、IMEI、MAC 地址、IP 地址及网络信息
• 向 C2 发送电池温度、内存、存储、云配置、后门版本以及感兴趣的文件扩展名（.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a, .p12）
• 定期截取屏幕截图
• 在当地时间晚上 7 点至 10 点之间通过麦克风录音
• 循环播放静音 MP3，以防止进程被挂起
• 从指定目录外泄文件

ESET 的分析 表明，Android 版尚未包含 Windows 版的全部指令。Android 缺失的功能包括：Shell 命令执行、流量代理、浏览器和即时通讯应用的数据获取、文件删除与投放、以及进程终止。

感染链（Windows）

在 Windows 系统上，感染链始于安装被篡改的 DLL（mono.dll），该 DLL 下载并执行 RokRAT，随后部署 Windows 版 BirdCall。

其他 ScarCruft 恶意软件

ScarCruft 以使用多种自制恶意软件而闻名，包括：

• THUMBSBD – 针对空气隔离的 Windows 系统
• KoSpy – 之前渗透 Google Play 的 Android 间谍软件
• M2RAT – 用于定向间谍攻击
• Dolphin – 移动端后门

缓解措施

为降低恶意软件感染风险，用户应仅从官方应用商店和可信的发布者网站下载软件。