**APT37** distribue activement une version Android jusqu'alors non documentée de la backdoor **BirdCall**, en exploitant une plateforme de jeux vidéo compromise pour livrer le malware. Cette campagne met en évidence l'évolution des tactiques du groupe et son intérêt pour les plateformes mobiles à des fins d'espionnage. ### Plateforme de jeux compromise Selon les chercheurs d'**ESET**, les attaques observées ont livré le malware via `sqgame[.]net`, un site chinois hébergeant des jeux pour Android, iOS et Windows. Les chercheurs ont déterminé que **ScarCruft** cible spécifiquement les utilisateurs d'Android et de Windows. La plateforme est populaire auprès des Coréens de la région autonome de Yanbian en Chine, un point de passage connu pour les transfuges et réfugiés nord-coréens. <div> <figure>  <figcaption> **Jeux sur la plateforme compromise**<br> *Source : ESET* </figcaption> </figure> </div> ### Capacités du spyware BirdCall **BirdCall** est une famille de malware connue associée à **ScarCruft** depuis 2021. La version Windows est capable de keylogging, de capture d'écran, de vol du presse-papiers, d'exfiltration de fichiers et d'exécution de commandes. La variante Android de **BirdCall**, découverte par **ESET**, possède une série de capacités intrusives : <div> <figure>  <figcaption> **Version trojanisée (droite) vs APK propre (gauche)**<br> *Source : ESET* </figcaption> </figure> </div> * Extrait des informations de géolocalisation IP * Collecte la liste de contacts, l'historique des appels et les messages SMS * Collecte le système d'exploitation de l'appareil, le noyau, le statut rooté, le numéro IMEI, l'adresse MAC, l'adresse IP et les informations réseau * Envoie au C2 des informations sur la température de la batterie, la RAM, le stockage, la configuration du cloud, la version de la backdoor et les extensions de fichiers d'intérêt (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a et .p12) * Prend périodiquement des captures d'écran * Enregistre l'audio via le microphone de 19h à 22h heure locale * Joue un MP3 silencieux en boucle pour empêcher la suspension de son processus * Exfiltre des fichiers d'un répertoire spécifié Selon l'analyse d'**ESET**, la version Android de **BirdCall** n'est pas aussi riche en fonctionnalités que son homologue Windows. Les capacités manquantes incluent l'exécution de commandes shell, le proxying de trafic, le ciblage des données des navigateurs et des applications de messagerie, la suppression de fichiers, le dépôt et la mise à mort de processus. Sur les systèmes Windows, la chaîne d'infection implique une DLL trojanisée (**mono.dll**) qui télécharge et exécute **RokRAT**, lequel déploie ensuite la version Windows de **BirdCall**. **ScarCruft** est connu pour son arsenal diversifié de malwares, incluant **THUMBSBD** (ciblant les systèmes air-gapped), **KoSpy** (spyware Android), **M2RAT** (utilisé dans l'espionnage) et **Dolphin** (backdoor mobile). Pour atténuer le risque d'infection, les utilisateurs doivent télécharger les logiciels exclusivement depuis les places de marché officielles et les sites d'éditeurs de confiance.