Вы скачиваете игру. Она выглядит легитимно. Устанавливается без проблем. А затем? Ваша личная жизнь начинает утекать в цифровое пространство, по кусочку. Это уже не научная фантастика; это новейшая уловка северокорейского хакерского коллектива APT37, также известного как ScarCruft. Им удалось взять свой устоявшийся бэкдор для Windows, BirdCall, и придать ему отвратительную Android-оболочку, протащив его на устройства через, казалось бы, невинную платформу для видеоигр.
Серьёзно, дерзость зашкаливает. Мы, конечно, видели атаки на цепочки поставок и раньше, но эта кажется особенно коварной, потому что она нацелена на то, что многие люди — особенно в определённых регионах — используют для развлечения или быстрой загрузки: игры.
Это просто очередной мобильный троян?
Исследователи ESET, да благословит их усердие, отслеживают это уже некоторое время. Они отмечают, что ScarCruft создали эту Android-версию примерно в октябре прошлого года и успели выпустить как минимум семь итераций. Механизм доставки? Китайский сайт sqgame[.]net. Эта платформа, кстати, предлагает игры для Android, iOS и Windows, но вот в чём загвоздка: только Android и Windows-версии, похоже, являются реальными целями для вредоносной нагрузки ScarCruft. И вот что интересно: сайт, по всей видимости, ориентирован на корейцев из китайского региона Яньбянь — места с историческими связями и известной транзитной точкой для северокорейских перебежчиков. Совпадение? Сомневаюсь.
Windows-версия BirdCall существует с 2021 года, способная записывать нажатия клавиш, делать снимки экрана, вытягивать файлы и в целом вести себя как цифровая зараза. Но этот новый Android-вариант? Это совершенно иной уровень вторжения. Это не просто шпионаж; это сбор данных на стероидах.
Он извлекает вашу IP-геолокацию, выхватывает список контактов, журналы вызовов и SMS-сообщения. Ему нужна ОС вашего устройства, ядро, информация о том, рутовано ли оно (красный флаг для более продвинутого взлома), ваш IMEI, MAC-адрес, IP-адрес и сетевые спецификации. Он также подслушивает температуру батареи, оперативную память, хранилище и даже расширения файлов, с которыми вы работаете — например, .jpg, .doc, .pdf, .p12. По сути, всё, что может быть чувствительным или полезным для дальнейшей эксплуатации.
Но настоящая изюминка? Он настроен на запись звука через ваш микрофон каждую ночь с 7 до 10 вечера по местному времени. А чтобы не быть удалённым с устройства, он зацикленно воспроизводит тихий MP3-файл — хитрый способ поддерживать свой процесс в живых и незамеченным. Прелестно.
Недостающие части (пока)
Прежде чем вы запаникуете и выбросите телефон, помните: Android-версия не обладает всеми жуткими возможностями своего Windows-брата. Пока что в ней отсутствуют такие функции, как выполнение команд оболочки, проксирование трафика, извлечение данных из браузеров и мессенджеров, удаление файлов или полное завершение процессов. ScarCruft, вероятно, продолжает развивать эту штуку, добавляя функции с каждой новой версией. Они не то чтобы известны как ленивые хакеры, не так ли? Вспомните THUMBSBD для изолированных систем, KoSpy (который, смешно сказать, однажды попал в Google Play), M2RAT и мобильный бэкдор Dolphin. У них целый арсенал.
Так что, хотя Android BirdCall может быть сегодня несколько менее функционален, чем его Windows-двойник, он всё равно представляет собой серьёзную угрозу. Это хорошо задокументированный бэкдор, активно разрабатываемый и развёртываемый настойчивым государственным субъектом.
Итак, кто на самом деле зарабатывает на этом?
Вот тут-то и включается мой циничный мозг ветерана-журналиста. Кто получает прибыль от этой сложной схемы? Помимо очевидных преимуществ стратегической разведки для Северной Кореи, давайте рассмотрим саму платформу sqgame[.]net. Она соучастник? Она скомпрометирована? Или это просто жертва собственной слабой безопасности? В любом случае, она используется как вектор. Для ScarCruft и APT37 ‘деньги’ — это не обязательно прямые наличные. Это разведданные, использование и поддержание постоянного присутствия для шпионажа. Они не продают этот вредоносный код в даркнете; они используют его в государственных целях. Стоимость разработки и поддержания таких кастомных инструментов значительна, но отдача для правительства, ищущего информацию о перебежчиках, региональной активности или чём-либо ещё, что они считают важным, вероятно, намного больше. Настоящие жертвы здесь — это пользователи, которые доверяют этим платформам свои данные и свою конфиденциальность.
Обычные подозреваемые и советы
Совет, как всегда, удручающе прост: скачивайте программное обеспечение только из официальных магазинов приложений и от издателей, которым вы абсолютно, безоговорочно доверяете. В этом цифровом Диком Западе это, пожалуй, единственная линия обороны, которая есть у многих из нас против этих всё более изощрённых и, честно говоря, пугающих угроз.
🧬 Связанные инсайты
- Читайте больше: Ландшафт угроз 2026: злоумышленники быстрее защитников
- Читайте больше: Разрешения мобильных приложений: всё ещё ваша последняя линия обороны [5 тревожных сигналов]
Часто задаваемые вопросы
Что такое вредоносное ПО BirdCall malware? BirdCall — это семейство бэкдор-вредоносов, в основном связанное с северокорейской хакерской группой APT37 (ScarCruft). Хотя у него есть варианты для Windows, способные красть файлы, записывать нажатия клавиш и делать снимки экрана, появилась новая версия для Android, которая функционирует как шпионское ПО, собирая обширные данные об устройстве и личные данные.
Как вредоносное ПО BirdCall доставляется на Android? Группа ScarCruft доставляет Android-версию BirdCall, троянизируя APK-файлы, найденные на сайтах загрузки игр, таких как sqgame[.]net. Пользователи скачивают то, что, по их мнению, является легитимной игрой, но оно содержит вредоносный бэкдор.
Какие данные собирает Android-вариант BirdCall? Android-вариант может извлекать IP-геолокацию, собирать списки контактов, журналы вызовов, SMS-сообщения и подробную информацию об устройстве (IMEI, MAC-адрес и т. д.). Он также отслеживает состояние батареи, хранилище и периодически делает снимки экрана и записывает аудио в определённые вечерние часы.
