ゲームをダウンロードする。見た目は本物だ。問題なくインストールも完了する。そして、その先は? あなたのプライベートな情報が、デジタルな断片となって漏れ出すのだ。これはもうSFの世界の話ではない。北朝鮮のハッカー集団であるAPT37、別名ScarCruftによる、最新の策略だ。彼らは、すでに確立されたWindows用バックドア「BirdCall」を、悪質なAndroid版に大胆に作り変え、一見無害なビデオゲームプラットフォームを介してデバイスに忍び込ませることに成功したのだ。
まったく、その大胆さには驚くばかりだ。サプライチェーン攻撃は以前から見られたものだが、特に多くの人々――特に特定の地域では――エンターテイメントや手軽なダウンロードのために頼るゲームを標的にしているという点で、今回は特に悪質だと感じられる。
ただのモバイルトロイの木馬か?
ESETの研究者たちは、その勤勉な努力のおかげで、この件を追跡しており、ScarCruftが昨年の10月頃にこのAndroid版を開発し、すでに7つ以上のバージョンを生み出していることを突き止めている。その配布経路は? sqgame[.]netという中国のウェブサイトだ。このプラットフォームはAndroid、iOS、Windows向けのゲームをホストしているが、ここで注目すべきは、Android版とWindows版のみがScarCruftの悪意あるペイロードの実際の標的となっているようだという点だ。さらに興味深いのは、このサイトは中国の延辺地域にいる朝鮮族を対象としているらしく、そこは歴史的なつながりがあり、北朝鮮からの脱北者の通過点としても知られている場所だ。偶然の一致か? 私にはそうは思えない。
BirdCallのWindows版は2021年から存在し、キーストロークの記録、スクリーンショットの取得、ファイルの収集、そして総じてデジタルな迷惑行為を働く能力を持っている。しかし、この新しいAndroid亜種は? それは侵入のレベルが全く違う。単なるスパイ行為ではなく、データ収穫を極限まで高めたものだ。
IPジオロケーションを取得し、連絡先リスト、通話履歴、SMSメッセージを奪い取る。デバイスのOS、カーネル、ルート化されているか(より高度なハッキングの赤信号)、IMEI、MACアドレス、IPアドレス、ネットワークの詳細情報を欲しがる。さらに、バッテリー温度、RAM、ストレージ、さらには作業中のファイルの拡張子――.jpg、.doc、.pdf、.p12など――にも目を光らせている。要するに、機密性が高い、あるいはさらなる悪用が可能なものは何でもだ。
しかし、本当の決め手は何か? それは、毎晩午後7時から10時の現地時間の間に、マイク経由で音声を録音する設定になっていることだ。そして、デバイスからキックされるのを避けるために、ミュートされたMP3ファイルをループ再生するという、プロセスを生き続けさせ、検知されないようにするための巧妙な方法を使っている。実に、素晴らしい(皮肉な意味で)。
(現時点での)失われたピース
さて、パニックになってスマホを手放す前に、Android版にはWindows版の不気味な機能がすべて備わっているわけではないことを覚えておく必要がある。今のところ、シェルコマンドの実行、トラフィックのプロキシ、ブラウザやメッセージングアプリからのデータ取得、ファイルの削除、あるいはプロセスの強制終了といった機能は欠けている。ScarCruftはおそらく、まだこのシステムを構築中で、新しいバージョンごとに機能を追加しているのだろう。彼らは怠惰なハッカーで知られているわけではないだろう? THUMBSBD(エアギャップシステム向け)、KoSpy(おかしくも、かつてGoogle Playに載ったこともある)、M2RAT、そしてDolphinモバイルバックドアを思い出してほしい。彼らは完全な兵器庫を持っているのだ。
したがって、Android版BirdCallは今日のWindows版のいとこよりも若干能力が劣るかもしれないが、それでもなお、重大な脅威である。これは、粘り強い国家主体によって積極的に開発・展開されている、十分に文書化されたバックドアなのだ。
では、実際に儲けているのは誰なのか?
ここで私の皮肉なベテランジャーナリストの脳が起動する。この手の込んだ計画で誰が利益を得るのだろうか? 北朝鮮にとっての明白な戦略的情報収集の利益を超えて、sqgame[.]netというプラットフォーム自体を考えてみよう。共犯なのか? 侵害されているのか? それとも、単に緩いセキュリティの犠牲者なのか? いずれにせよ、それはベクトルとして利用されている。ScarCruftとAPT37にとって、「金儲け」は必ずしも直接的な現金ではない。それは情報、利用、そしてスパイ活動のための持続的な存在感を維持することだ。彼らはこのマルウェアをダークウェブで売っているわけではない。国家支援の目的のために使用しているのだ。これらのカスタムツールの開発と維持には相当なコストがかかるが、脱北者、地域活動、あるいは彼らが重要だと見なすその他の情報に関心のある政府にとっては、その見返りははるかに大きいだろう。本当の犠牲者は、これらのプラットフォームにデータとプライバシーを託したユーザーたちだ。
いつもの容疑者たちとアドバイス
アドバイスは、いつものように、残念ながらシンプルだ:公式アプリストア、そして絶対的かつ疑いようのないほど信頼できる発行元からのみソフトウェアをダウンロードすることだ。このデジタルな無法地帯では、これこそが、ますます高度化し、率直に言って恐ろしいこれらの脅威から私たちを守る、多くの人々にとって唯一の防御線なのだ。
🧬 関連インサイト
よくある質問
BirdCallマルウェアとは何か? BirdCallは、主に北朝鮮のハッカー集団APT37(ScarCruft)に関連付けられているバックドアマルウェアファミリーである。ファイルを盗んだり、キーストロークを記録したり、スクリーンショットを撮ったりできるWindows亜種がある一方、新しいAndroid亜種が登場しており、これは広範なデバイスおよび個人データを収集するスパイウェアとして機能する。
BirdCallマルウェアはAndroidでどのように配信されるか? ScarCruft集団は、sqgame[.]netのようなゲームダウンロードサイトで見つかるAPKファイルをトロイ化することで、BirdCallのAndroid版を配信している。ユーザーは正規のゲームだと思ってダウンロードするが、その中には悪意あるバックドアが含まれている。
Android版BirdCallはどのようなデータを収集するか? Android版は、IPジオロケーションを抽出し、連絡先リスト、通話履歴、SMSメッセージ、および詳細なデバイス情報(IMEI、MACアドレスなど)を収集できる。また、バッテリーの状態、ストレージを監視し、特定の夜間時間帯に定期的にスクリーンショットを撮り、音声を録音する。
