## Campanha de Malware Mobile do APT37 Coreanos étnicos residentes na região de Yanbian, na China, próxima à fronteira com a Coreia do Norte, foram o alvo de uma campanha de ciberespionagem. Pesquisadores de cibersegurança da **ESET** atribuíram essa atividade ao **APT37**, um grupo de hackers que se acredita ser afiliado ao Ministério de Segurança de Estado da Coreia do Norte.  O vetor de ataque envolveu uma versão modificada de um conjunto de jogos de cartas de uma empresa chamada **Sqgame**. Os jogos comprometidos continham um backdoor, apelidado de **BirdCall**, que concedeu aos atacantes acesso extensivo aos dispositivos das vítimas. ## Backdoor BirdCall: Funcionalidade e Disseminação O backdoor **BirdCall** permite que o **APT37** execute uma série de atividades maliciosas, incluindo: * Capturar screenshots * Gravar chamadas * Roubar dados pessoais (contatos, SMS, registros de chamadas, arquivos de mídia, chaves privadas) Pesquisadores inicialmente acreditavam que o **BirdCall** visava apenas dispositivos Windows, mas uma versão Android foi descoberta posteriormente. A **ESET** encontrou sete versões diferentes do backdoor Android, indicando um esforço de desenvolvimento contínuo. As vítimas geralmente baixavam os jogos comprometidos diretamente por meio de um navegador web, contornando a loja **Google Play**, de acordo com o pesquisador da **ESET**, Filip Jurčacko. O arquivo inicial baixado não era malicioso; o comprometimento ocorreu por meio de um pacote de atualização malicioso entregue pela plataforma **Sqgame**. ## Histórico e Alvos do APT37 O **APT37** está ativo desde 2012, focando principalmente em campanhas de espionagem que visam a Coreia do Sul e outros países asiáticos. Seus alvos incluíram organizações governamentais e militares, bem como desertores norte-coreanos. A versão Windows do **BirdCall** foi identificada anteriormente pela fornecedora sul-coreana de cibersegurança **AhnLab** em 2021. A **ESET** contatou a **Sqgame** em dezembro de 2025, mas não recebeu resposta. O pacote de atualização malicioso não está mais sendo distribuído. No ano passado, pesquisadores encontraram outra cepa de spyware Android desenvolvida e utilizada pelo **APT37**, incorporada em aplicativos disponíveis na loja **Google Play**. Em 2024, o **APT37** teria visado especialistas acadêmicos sul-coreanos e um veículo de notícias focado na Coreia do Norte.