Le groupe de hackers nord-coréen APT37, également désigné sous les noms ScarCruft ou Ricochet Chollima, propage une version Android du backdoor BirdCall par le biais d’une attaque dans la chaîne d’approvisionnement sur une plateforme de jeux vidéo.
Les experts de la société de cybersécurité ESET indiquent que les cybercriminels ont conçu cette variante pour Android vers octobre 2024, avec au moins sept moutures distinctes. Les assaillants diffusent le malware via sqgame[.]net, un site chinois proposant des jeux pour Android, iOS et Windows, bien que les attaques de ScarCruft visent exclusivement Android et Windows.
Ce portail s’adresse principalement aux Coréens de la région autonome de Yanbian en Chine, un lieu de transit pour les déserteurs et réfugiés nord-coréens.
Source: ESET
Le spyware BirdCall
Famille de malwares liée à ScarCruft et recensée depuis 2021, BirdCall existe déjà pour les systèmes Windows, où il enregistre les frappes au clavier, capture des écrans, vole des données du presse-papiers, extrait des fichiers et exécute des ordres.
La campagne repérée par ESET déploie une édition inédite pour Android, intégrée dans des APKs modifiés sur sqgame[.]net.
Source: ESET
Cette version Android de BirdCall récupère les données de géolocalisation IP, la liste des contacts, l’historique des appels et les SMS. Elle recueille aussi les informations sur le système d’exploitation du appareil, le noyau, l’état de root, l’IMEI, l’adresse MAC, l’adresse IP et les détails réseau.
Le malware transmet au serveur de commande des données sur la température de la batterie, la RAM, le stockage, la configuration cloud, la version du backdoor et les extensions de fichiers prioritaires comme .jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a ou .p12. Il capture périodiquement des captures d’écran, enregistre l’audio par le micro entre 19h et 22h heure locale, diffuse un MP3 silencieux en boucle pour éviter la suspension du processus, et exfiltre des fichiers d’un répertoire désigné.
L’analyse d’ESET révèle que l’édition Android manque encore de fonctionnalités présentes sur Windows, telles que l’exécution de commandes shell, le proxy de trafic, l’accès aux données de navigateurs et messageries, la suppression ou le dépôt de fichiers, et l’arrêt de processus.
Sur Windows, la séquence d’infection démarre par une DLL trojanisée nommée mono.dll, qui télécharge et lance RokRAT, lequel installe ensuite BirdCall.
ScarCruft emploie une variété de malwares sur mesure, parmi lesquels THUMBSBD pour systèmes Windows isolés, KoSpy qui a infiltré Google Play, M2RAT pour espionnage ciblé, et le backdoor mobile Dolphin.