Bir oyun indiriyorsunuz. Gerçek görünüyor. Tereddüt etmeden yükleniyor. Ve sonra? Özel hayatınız, dijital parçalar halinde sızmaya başlıyor. Bu artık bilim kurgu değil; Kuzey Koreli hacker grubu APT37’nin, namıdiğer ScarCruft’ın en son taktiği. Mevcut Windows arka kapıları BirdCall’u alıp, görünüşte masum bir video oyunu platformu üzerinden cihazlara sızdırarak korkunç bir Android makyajı yapmışlar.
Cidden, bu cüretkarlık inanılmaz. Daha önce de tedarik zinciri saldırıları gördük elbette ama bu, özellikle bazı bölgelerde birçok kişinin eğlence veya hızlı indirme aracı olarak başvurduğu bir şeyi hedef aldığı için özellikle sinsi hissettiriyor: oyunlar.
Bu Sadece Başka Bir Mobil Truva Atı mı?
ESET’in fedakar araştırmacıları bunu bir süredir takip ediyor ve ScarCruft’ın bu Android sürümünü geçen yıl ekim civarında hazırladığını ve şimdiden en az yedi farklı versiyonunu çıkardığını belirtiyor. Teslimat mekanizması? sqgame[.]net adlı Çinli bir site. Bu platform Android, iOS ve Windows için oyunlar barındırıyor, ancak işin ilginç yanı: ScarCruft’ın kötü niyetli yükü için hedef alınanlar sadece Android ve Windows sürümleri gibi görünüyor. Ve şunu da ekleyeyim, site Çin’in Yanbian bölgesindeki Korelilere hizmet veriyor—tarihi bağları olan ve Kuzey Koreli kaçakların bilinen geçiş noktası olan bir yer. Tesadüf mü? Pek sanmıyorum.
BirdCall’un Windows sürümü 2021’den beri ortalıkta, tuş vuruşlarını kaydetme, ekran görüntüleri alma, dosyaları toplama ve genel olarak dijital bir baş belası olma yeteneğine sahip. Peki bu yeni Android varyantı? Tamamen başka bir düzeyde müdahaleci. Sadece gözetim yapmakla kalmıyor; veri toplama konusunda sınırları zorluyor.
IP coğrafi konumunuzu çekiyor, kişi listenizi, arama günlüklerinizi ve SMS mesajlarınızı kapıyor. Cihazınızın işletim sistemini, çekirdeğini, root’lanıp root’lanmadığını (daha gelişmiş hackleme için bir kırmızı bayrak), IMEI’nizi, MAC adresinizi, IP adresinizi ve ağ özelliklerinizi istiyor. Ayrıca pil sıcaklığı, RAM, depolama alanı ve hatta üzerinde çalıştığınız dosya uzantılarını (.jpg, .doc, .pdf, .p12 gibi) da kokluyor. Kısacası, hassas veya daha fazla istismar için yararlı olabilecek her şey.
Ama asıl vurucu nokta ne mi? Mikrofonunuz aracılığıyla her gece yerel saatle 19:00 ile 22:00 arasında ses kaydetmek üzere ayarlanmış. Ve cihazdan atılmamak için, süreci canlı ve tespit edilmemiş tutmanın sinsi bir yolu olarak sessiz bir MP3’ü döngüde çalıyor. Sevimli.
Eksik Parçalar (Şimdilik)
Şimdi, panikleyip telefonunuzu atmadan önce, Android sürümünün Windows kardeşinden tüm o ürkütücü oyuncaklara sahip olmadığını unutmayın. Şimdilik, shell komutları yürütme, trafiği proxy’leme, tarayıcılardan ve mesajlaşma uygulamalarından veri kapma, dosyaları silme veya işlemleri doğrudan sonlandırma gibi özellikler eksik. ScarCruft muhtemelen bu şeyi hala inşa ediyor, her yeni sürümle özellikler ekliyor. Hiç de tembel hackerlar olarak bilinmiyorlar, değil mi? Hava boşluklu sistemler için THUMBSBD’yi, (komik bir şekilde bir zamanlar Google Play’e girmeyi başaran) KoSpy’yi, M2RAT’ı ve Dolphin mobil arka kapısını düşünün. Bütün bir cephanelikleri var.
Dolayısıyla, Android BirdCall bugün itibarıyla Windows kuzeninden biraz daha az yetenekli olsa da, hala önemli bir tehdit. Sürekli gelişen ve dağıtılan, kalıcı bir devlet aktörü tarafından kullanılan, iyi belgelenmiş bir arka kapı.
Peki, Gerçekten Kim Para Kazanıyor?
İşte burada benim eski kuruntu gazeteci beynim devreye giriyor. Bu karmaşık planın kârı kimin? Kuzey Kore için bariz stratejik istihbarat kazançlarının ötesinde, sqgame[.]net platformunu düşünün. Suç ortağı mı? Ele geçirilmiş mi? Yoksa sadece kendi zayıf güvenliğinin kurbanı mı? Her iki durumda da, bir vektör olarak kullanılıyor. ScarCruft ve APT37 için ‘para’ mutlaka doğrudan nakit değil. Bu istihbarat, kullanım ve casusluk için kalıcı bir varlık sürdürmekle ilgili. Bu zararlı yazılımı karanlık web’de satmıyorlar; devlet destekli amaçlar için kullanıyorlar. Bu özel araçları geliştirme ve sürdürmenin maliyeti önemli, ancak bir hükümetin kaçaklar, bölgesel faaliyetler veya önemli olduğunu düşündüğü diğer her şey hakkında bilgi edinmesi için getirisinin muhtemelen çok daha büyük olduğu düşünülüyor. Buradaki gerçek kurbanlar, bu platformlara verilerini ve gizliliklerini emanet eden kullanıcılardır.
Her Zamanki Şüpheliler ve Tavsiyeler
Tavsiye, her zamanki gibi, iç karartıcı derecede basit: yazılımları yalnızca resmi uygulama mağazalarından ve kesinlikle, sorgusuz sualsiz güvendiğiniz yayıncılardan indirin. Bu dijital Vahşi Batı’da, bu giderek daha sofistike ve açıkçası korkutucu tehditlere karşı çoğumuzun sahip olduğu tek savunma hattı bu.
🧬 İlgili İçgörüler
- Daha Fazlasını Okuyun: 2026 Tehdit Manzarası: Saldırganlar Savunmacılardan Daha Hızlı
- Daha Fazlasını Okuyun: Mobil Uygulama İzinleri: Hala Son Savunmanız [5 Kırmızı Bayrak]
Sıkça Sorulan Sorular
BirdCall zararlısı nedir? BirdCall, öncelikle Kuzey Koreli hacker grubu APT37 (ScarCruft) ile ilişkilendirilen bir arka kapı zararlısı ailesidir. Dosyaları çalabilen, tuş vuruşlarını kaydedebilen ve ekran görüntüleri alabilen Windows varyantlarının yanı sıra, kapsamlı cihaz ve kişisel verileri toplayan bir casus yazılım görevi gören yeni bir Android sürümü ortaya çıkmıştır.
BirdCall zararlısı Android’de nasıl dağıtılır? ScarCruft grubu, BirdCall’un Android sürümünü sqgame[.]net gibi oyun indirme sitelerinde bulunan APK dosyalarını trojanize ederek dağıtıyor. Kullanıcılar, meşru bir oyun olduğuna inandıkları bir şeyi indiriyor, ancak içinde kötü niyetli arka kapı bulunuyor.
Android BirdCall varyantı ne tür veriler toplar? Android varyantı IP coğrafi konumunu çıkarabilir, kişi listelerini, arama günlüklerini, SMS mesajlarını ve ayrıntılı cihaz bilgilerini (IMEI, MAC adresi vb.) toplayabilir. Ayrıca pil durumunu, depolama alanını izler ve belirli akşam saatlerinde periyodik olarak ekran görüntüleri alır ve ses kaydeder.
