De Noord-Koreaanse hackerorganisatie APT37, ook bekend als ScarCruft, heeft een Android-variant ontwikkeld van de BirdCall backdoor en verspreidt deze via een supply-chain aanval op een videogameplatform. BirdCall was eerder alleen bekend als backdoor voor Windows, maar sinds oktober 2024 is er een spywarevariant voor Android in omloop, aldus onderzoekers van cybersecuritybedrijf ESET.

De aanvallen maken gebruik van sqgame[.]net, een Chinees platform dat games aanbiedt voor Android, iOS en Windows. Volgens ESET richt ScarCruft zich echter alleen op Android- en Windows-gebruikers. Het platform bedient voornamelijk Koreanen in de autonome regio Yanbian in China, een gebied dat bekendstaat als doorgang voor Noord-Koreaanse vluchtelingen. De malware wordt verspreid door het trojaniseren van APK-bestanden op dit platform.

BirdCall voor Android verzamelt diverse gegevens, waaronder IP-geolocatie, contacten, belgeschiedenis, sms-berichten en apparaatdetails zoals OS-versie, rootstatus, IMEI, MAC-adres en netwerkgegevens. Daarnaast stuurt de malware informatie over batterijtemperatuur, RAM, opslag, cloudconfiguraties en specifieke bestandsformaten naar de command-and-control server. De spyware maakt periodiek screenshots, neemt tussen 19:00 en 22:00 uur lokale tijd audio op via de microfoon en speelt een stil MP3-bestand af om te voorkomen dat het proces wordt beëindigd. Ook exfiltreert het bestanden uit een opgegeven map.

De Android-versie mist nog enkele functies die de Windows-variant wel bezit, zoals het uitvoeren van shell-commando's, het proxyen van netwerkverkeer, het richten op browser- en messengerdata, het verwijderen en neerzetten van bestanden en het beëindigen van processen. Op Windows begint de infectieketen met een trojanized DLL (mono.dll) die de RokRAT malware downloadt en uitvoert, waarna BirdCall wordt geïnstalleerd.

ScarCruft staat bekend om het gebruik van diverse op maat gemaakte malwarefamilies, waaronder THUMBSBD voor air-gapped Windows-systemen, KoSpy voor Android, M2RAT voor gerichte spionage en de Dolphin backdoor voor mobiele apparaten. Om besmetting te voorkomen, wordt geadviseerd software alleen te downloaden van officiële marktplaatsen en betrouwbare uitgevers.