**APT37**は、これまで文書化されていなかった**BirdCall**バックドアのAndroid版を積極的に配布しており、侵害されたビデオゲームプラットフォームを利用してマルウェアを配信しています。このキャンペーンは、同グループの進化する戦術と、スパイ活動のためのモバイルプラットフォームへの注力を浮き彫りにしています。 ### 侵害されたゲームプラットフォーム **ESET**の研究者によると、観測された攻撃は、Android、iOS、Windows向けのゲームをホストする中国のサイト`sqgame[.]net`を通じてマルウェアを配信していました。研究者たちは、**ScarCruft**が特にAndroidおよびWindowsユーザーを標的にしていると判断しました。 このプラットフォームは、中国の延辺朝鮮族自治州に住む韓国人の間で人気があり、北朝鮮からの脱北者や難民の移動ルートとして知られています。 <div> <figure>  <figcaption> **侵害されたプラットフォーム上のゲーム**<br> *出典: ESET* </figcaption> </figure> </div> ### BirdCallスパイウェアの機能 **BirdCall**は、2021年以来**ScarCruft**に関連付けられている既知のマルウェアファミリーです。Windows版は、キーロギング、画面キャプチャ、クリップボードの盗難、ファイルの流出、コマンド実行が可能です。 **ESET**によって発見された**BirdCall**のAndroid亜種は、一連の侵入的な機能を持っています。 <div> <figure>  <figcaption> **トロイの木馬化されたバージョン（右）とクリーンなAPK（左）**<br> *出典: ESET* </figcaption> </figure> </div> * IPジオロケーション情報の抽出 * 連絡先リスト、通話履歴、SMSメッセージの収集 * デバイスのOS、カーネル、root化ステータス、IMEI番号、MACアドレス、IPアドレス、ネットワーク情報の収集 * バッテリー温度、RAM、ストレージ、クラウド構成、バックドアバージョン、および関心のあるファイル拡張子（.jpg、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.txt、.hwp、.pdf、.m4a、.p12）に関する情報をC2に送信 * 定期的なスクリーンショットの取得 * 現地時間の午後7時から10時までマイク経由での音声録音 * プロセスの停止を防ぐために、サイレントMP3をループ再生 * 指定されたディレクトリからのファイルの流出 **ESET**の分析によると、**BirdCall**のAndroid版は、Windows版ほど機能は豊富ではありません。欠落している機能には、シェルコマンド実行、トラフィックプロキシ、ブラウザやメッセージングアプリからのデータ標的、ファイル削除、ドロップ、プロセス停止などが含まれます。 Windowsシステムでは、感染チェーンはトロイの木馬化されたDLL（**mono.dll**）を含み、これが**RokRAT**をダウンロードして実行し、その後Windows版**BirdCall**を展開します。 **ScarCruft**は、**THUMBSBD**（エアギャップシステムを標的とする）、**KoSpy**（Androidスパイウェア）、**M2RAT**（スパイ活動に使用）、**Dolphin**（モバイルバックドア）など、多様なマルウェアの武器庫で知られています。 感染のリスクを軽減するために、ユーザーは公式マーケットプレイスおよび信頼できる発行元のサイトからのみソフトウェアをダウンロードする必要があります。