**APT37** ha estado distribuyendo activamente una versión para Android previamente indocumentada del backdoor **BirdCall**, aprovechando una plataforma de videojuegos comprometida para entregar el malware. Esta campaña resalta las tácticas en evolución del grupo y su enfoque en plataformas móviles para espionaje. ### Plataforma de Juegos Comprometida Según investigadores de **ESET**, los ataques observados entregaron el malware a través de `sqgame[.]net`, un sitio chino que aloja juegos para Android, iOS y Windows. Los investigadores determinaron que **ScarCruft** está apuntando específicamente a usuarios de Android y Windows. La plataforma es popular entre los coreanos en la región autónoma de Yanbian en China, un punto de cruce conocido para desertores y refugiados norcoreanos. <div> <figure>  <figcaption> **Juegos en la plataforma comprometida**<br> *Fuente: ESET* </figcaption> </figure> </div> ### Capacidades del Spyware BirdCall **BirdCall** es una familia de malware conocida asociada con **ScarCruft** desde 2021. La versión para Windows es capaz de registrar pulsaciones de teclas, capturar pantallas, robar el portapapeles, exfiltrar archivos y ejecutar comandos. La variante de **BirdCall** para Android, descubierta por **ESET**, posee una serie de capacidades intrusivas: <div> <figure>  <figcaption> **Versión troyanizada (derecha) vs APK limpio (izquierda)**<br> *Fuente: ESET* </figcaption> </figure> </div> * Extrae información de geolocalización IP * Recopila lista de contactos, registro de llamadas y mensajes SMS * Recopila el sistema operativo del dispositivo, kernel, estado de root, número IMEI, dirección MAC, dirección IP e información de red * Envía a C2 información sobre la temperatura de la batería, RAM, almacenamiento, configuración de la nube, versión del backdoor y extensiones de archivo de interés (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a y .p12) * Toma capturas de pantalla periódicamente * Graba audio a través del micrófono de 7 pm a 10 pm hora local * Reproduce un MP3 silencioso en bucle para evitar la suspensión de su proceso * Exfiltra archivos de un directorio especificado Según el análisis de **ESET**, la versión para Android de **BirdCall** no es tan rica en funciones como su contraparte para Windows. Las capacidades faltantes incluyen la ejecución de comandos shell, proxy de tráfico, targeting de datos de navegadores y aplicaciones de mensajería, eliminación de archivos, descarga y finalización de procesos. En sistemas Windows, la cadena de infección implica una DLL troyanizada (**mono.dll**) que descarga y ejecuta **RokRAT**, el cual luego despliega la versión para Windows de **BirdCall**. **ScarCruft** es conocido por su diverso arsenal de malware, incluyendo **THUMBSBD** (dirigido a sistemas air-gapped), **KoSpy** (spyware para Android), **M2RAT** (utilizado en espionaje) y **Dolphin** (backdoor móvil). Para mitigar el riesgo de infección, los usuarios deben descargar software exclusivamente de mercados oficiales y sitios de editores de confianza.