## Mobile Malware-Kampagne von APT37 Ethnische Koreaner, die in der chinesischen Region Yanbian nahe der nordkoreanischen Grenze leben, waren Ziel einer Cyber-Spionagekampagne. Cybersicherheitsforscher von **ESET** haben diese Aktivität **APT37** zugeschrieben, einer Hackergruppe, die vermutlich mit dem nordkoreanischen Ministerium für Staatssicherheit verbunden ist.  Der Angriffsvektor beinhaltete eine modifizierte Version einer Kartenspiel-Suite eines Unternehmens namens **Sqgame**. Die kompromittierten Spiele enthielten eine Backdoor namens **BirdCall**, die den Angreifern weitreichenden Zugriff auf die Geräte der Opfer gewährte. ## BirdCall Backdoor: Funktionalität und Verbreitung Die **BirdCall**-Backdoor ermöglicht **APT37** eine Reihe von bösartigen Aktivitäten, darunter: * Aufnahme von Screenshots * Aufzeichnung von Anrufen * Diebstahl persönlicher Daten (Kontakte, SMS-Nachrichten, Anrufprotokolle, Mediendateien, private Schlüssel) Forscher glaubten zunächst, dass **BirdCall** nur Windows-Geräte ins Visier nahm, aber später wurde eine Android-Version entdeckt. **ESET** fand sieben verschiedene Versionen der Android-Backdoor, was auf anhaltende Entwicklungsbemühungen hindeutet. Opfer luden die kompromittierten Spiele laut **ESET**-Forscher Filip Jurčacko typischerweise direkt über einen Webbrowser herunter und umgingen dabei den **Google Play** Store. Die anfänglich heruntergeladene Datei war nicht bösartig; die Kompromittierung erfolgte über ein bösartiges Update-Paket, das von der **Sqgame**-Plattform geliefert wurde. ## Geschichte und Ziele von APT37 **APT37** ist seit 2012 aktiv und konzentriert sich hauptsächlich auf Spionagekampagnen gegen Südkorea und andere asiatische Länder. Zu ihren Zielen gehörten Regierungs- und Militärorganisationen sowie nordkoreanische Überläufer. Die Windows-Version von **BirdCall** wurde bereits 2021 vom südkoreanischen Cybersicherheitsanbieter **AhnLab** identifiziert. **ESET** kontaktierte **Sqgame** im Dezember 2025, erhielt jedoch keine Antwort. Das bösartige Update-Paket wird nicht mehr verbreitet. Im vergangenen Jahr fanden Forscher eine weitere Art von Android-Spyware, die von **APT37** entwickelt und verwendet wurde und in Apps im **Google Play** Store eingebettet war. Im Jahr 2024 richtete sich **APT37** Berichten zufolge gegen südkoreanische Akademiker und ein auf Nordkorea fokussiertes Nachrichtenportal.