Хакеры из КНДР адаптировали вирус BirdCall под Android

Группировка APT37 расширила арсенал шпионского ПО, выпустив мобильную версию бэкдора BirdCall. Вредонос маскируется под легитимные игры и крадет личные данные пользователей, включая историю звонков, сообщения и записи с микрофона, что сигнализирует об усилении активности северокорейских киберпреступников в секторе мобильных устройств.

Исследователи ESET зафиксировали разработку Android-версии BirdCall в октябре 2024 года. С этого момента злоумышленники создали не менее семи модификаций программы, распространяя их через ресурс sqgame.net. Хотя площадка предлагает контент для разных платформ, вредоносный код нацелен исключительно на пользователей Android и Windows. Приложение запрашивает доступ к контактам, геолокации и сетевым параметрам, а для скрытой записи аудио с микрофона использует фоновое воспроизведение «тихих» файлов, предотвращая принудительное завершение процессов системой.

Несмотря на агрессивный функционал, мобильный вариант пока отстает от своего Windows-аналога: в нем отсутствуют функции удаленного проксирования трафика и выполнения команд оболочки. Группировка APT37, которую связывают с правительством КНДР, активно использует этот бэкдор для слежки и извлечения файлов. Ранее хакеры этой группы уже применяли инструменты KoSpy и Dolphin для целевых атак, продолжая совершенствовать методы доставки вредоносного ПО через цепочки поставок.