O **APT37** tem distribuído ativamente uma versão Android do backdoor **BirdCall** anteriormente não documentada, aproveitando uma plataforma de videogames comprometida para entregar o malware. Esta campanha destaca as táticas em evolução do grupo e seu foco em plataformas móveis para espionagem. ### Plataforma de Jogos Comprometida De acordo com pesquisadores da **ESET**, os ataques observados entregaram o malware através do `sqgame[.]net`, um site chinês que hospeda jogos para Android, iOS e Windows. Os pesquisadores determinaram que o **ScarCruft** está visando especificamente usuários de Android e Windows. A plataforma é popular entre coreanos na região autônoma de Yanbian, na China, um ponto de travessia conhecido para desertores e refugiados norte-coreanos. <div> <figure>  <figcaption> **Jogos na plataforma comprometida**<br> *Fonte: ESET* </figcaption> </figure> </div> ### Capacidades do Spyware BirdCall O **BirdCall** é uma família de malware conhecida associada ao **ScarCruft** desde 2021. A versão para Windows é capaz de registrar teclas, capturar tela, roubar a área de transferência, exfiltrar arquivos e executar comandos. A variante Android do **BirdCall**, descoberta pela **ESET**, possui uma série de capacidades intrusivas: <div> <figure>  <figcaption> **Versão trojanizada (direita) vs APK limpo (esquerda)**<br> *Fonte: ESET* </figcaption> </figure> </div> * Extrai informações de geolocalização IP * Coleta lista de contatos, histórico de chamadas e mensagens SMS * Coleta OS do dispositivo, kernel, status de root, número IMEI, endereço MAC, endereço IP e informações de rede * Envia para o C2 informações sobre temperatura da bateria, RAM, armazenamento, configuração da nuvem, versão do backdoor e extensões de arquivo de interesse (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a e .p12) * Tira screenshots periodicamente * Grava áudio via microfone das 19h às 22h, horário local * Reproduz um MP3 silencioso em loop para evitar a suspensão de seu processo * Exfiltra arquivos de um diretório especificado De acordo com a análise da **ESET**, a versão Android do **BirdCall** não é tão rica em recursos quanto sua contraparte para Windows. As capacidades ausentes incluem execução de comandos shell, proxy de tráfego, direcionamento de dados de navegadores e aplicativos de mensagens, exclusão de arquivos, download e encerramento de processos. Em sistemas Windows, a cadeia de infecção envolve uma DLL trojanizada (**mono.dll**) que baixa e executa o **RokRAT**, que então implanta a versão Windows do **BirdCall**. O **ScarCruft** é conhecido por seu diverso arsenal de malware, incluindo **THUMBSBD** (visando sistemas air-gapped), **KoSpy** (spyware Android), **M2RAT** (usado em espionagem) e **Dolphin** (backdoor móvel). Para mitigar o risco de infecção, os usuários devem baixar software exclusivamente de marketplaces oficiais e sites de publicadores confiáveis.