**APT37** verteilt aktiv eine bisher undokumentierte Android-Version der **BirdCall**-Backdoor und nutzt eine kompromittierte Videospielplattform zur Auslieferung der Malware. Diese Kampagne unterstreicht die sich entwickelnden Taktiken der Gruppe und ihren Fokus auf mobile Plattformen für Spionage. ### Kompromittierte Spieleplattform Laut Forschern von **ESET** wurde die Malware in den beobachteten Angriffen über `sqgame[.]net` ausgeliefert, eine chinesische Website, die Spiele für Android, iOS und Windows hostet. Die Forscher stellten fest, dass **ScarCruft** gezielt Android- und Windows-Benutzer ins Visier nimmt. Die Plattform ist bei Koreanern in der autonomen Region Yanbian in China beliebt, einem bekannten Übergangspunkt für nordkoreanische Überläufer und Flüchtlinge. <div> <figure>  <figcaption> **Spiele auf der kompromittierten Plattform**<br> *Quelle: ESET* </figcaption> </figure> </div> ### BirdCall Spyware-Fähigkeiten **BirdCall** ist eine bekannte Malware-Familie, die seit 2021 mit **ScarCruft** in Verbindung gebracht wird. Die Windows-Version ist in der Lage, Tastatureingaben zu protokollieren, Screenshots zu erstellen, den Inhalt der Zwischenablage zu stehlen, Dateien zu exfiltrieren und Befehle auszuführen. Die von **ESET** entdeckte Android-Variante von **BirdCall** verfügt über eine Reihe von aufdringlichen Funktionen: <div> <figure>  <figcaption> **Trojanisierte Version (rechts) vs. saubere APK (links)**<br> *Quelle: ESET* </figcaption> </figure> </div> * Extrahiert IP-Geolokalisierungsinformationen * Sammelt Kontaktliste, Anrufliste und SMS-Nachrichten * Sammelt Geräte-Betriebssystem, Kernel, Root-Status, IMEI-Nummer, MAC-Adresse, IP-Adresse und Netzwerkinformationen * Sendet Informationen über Batterietemperatur, RAM, Speicher, Cloud-Konfiguration, Backdoor-Version und Dateierweiterungen von Interesse (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a und .p12) an den C2 * Erstellt periodisch Screenshots * Nimmt von 19:00 bis 22:00 Uhr Ortszeit Audio über das Mikrofon auf * Spielt eine stille MP3-Datei in einer Schleife ab, um die Suspendierung seines Prozesses zu verhindern * Exfiltriert Dateien aus einem angegebenen Verzeichnis Laut der Analyse von **ESET** ist die Android-Version von **BirdCall** nicht so funktionsreich wie ihr Windows-Pendant. Fehlende Funktionen sind die Ausführung von Shell-Befehlen, Traffic-Proxying, das Zielen auf Daten von Browsern und Messenger-Apps, das Löschen von Dateien, das Ablegen und das Beenden von Prozessen. Auf Windows-Systemen umfasst die Infektionskette eine trojanisierte DLL (**mono.dll**), die **RokRAT** herunterlädt und ausführt, welches dann die Windows-Version von **BirdCall** bereitstellt. **ScarCruft** ist bekannt für sein vielfältiges Malware-Arsenal, darunter **THUMBSBD** (zielt auf isolierte Systeme ab), **KoSpy** (Android-Spyware), **M2RAT** (in der Spionage eingesetzt) und **Dolphin** (mobile Backdoor). Um das Infektionsrisiko zu minimieren, sollten Benutzer Software ausschließlich aus offiziellen Marktplätzen und von vertrauenswürdigen Publisher-Websites herunterladen.