Хакеры из КНДР заражают Android-смартфоны шпионским вирусом BirdCall

Хакерская группировка APT37, также известная как ScarCruft и Ricochet Chollima, начала распространять Android-версию шпионского вредоносного ПО BirdCall в рамках атаки на цепочку поставок через игровую платформу. Ранее этот бэкдор использовался на Windows, однако теперь злоумышленники адаптировали его под мобильные устройства, превратив в полноценный шпионский инструмент.

Об этом сообщает издание BleepingComputer.

По данным исследователей компании ESET, разработка Android-версии BirdCall началась примерно в октябре 2024 года, и с тех пор было создано как минимум семь вариантов вредоносной программы. Распространение происходило через сайт sqgame[.]net, где размещаются игры для Android, iOS и Windows, однако атаки были направлены только на устройства под управлением Android и Windows.

Новая версия вредоноса для Android распространяется через заражённые APK-файлы и способна собирать широкий спектр данных, включая контакты, историю звонков и SMS, сведения об устройстве, IP-адрес, геолокацию и параметры сети. Кроме того, программа регулярно делает скриншоты, записывает аудио с микрофона в вечернее время, отправляет техническую информацию на управляющие серверы и может извлекать файлы с устройства. Для маскировки активности вредонос воспроизводит «тихий» аудиофайл, чтобы избежать остановки процессов системой.

Несмотря на широкие возможности, мобильная версия BirdCall пока уступает Windows-варианту и не поддерживает выполнение команд оболочки, проксирование трафика и ряд других функций. В случае атак на Windows заражение начинается с установки вредоносной библиотеки, которая загружает другое ПО, после чего устанавливается полноценный бэкдор.

Группа APT37 известна использованием различных вредоносных инструментов, включая THUMBSBD, KoSpy, M2RAT и Dolphin. Данных хакеров связывают с правительство КНДР.