Šiaurės Korėjos įsilaužėlių grupė APT37 tiekimo grandinės atakos metu per vaizdo žaidimų platformą pristatė „Android“ galinių durų versiją, pavadintą „BirdCall“.
Nors „BirdCall“ yra žinoma „Windows“ sistemų užpakalinė dalis, APT37, taip pat žinomas kaip „ScarCruft“ ir „Ricochet Chollima“, sukūrė „Android“ skirtą variantą, kuris veikia kaip šnipinėjimo programa.
Kibernetinio saugumo bendrovės ESET tyrėjų teigimu, grėsmių veikėjas sukūrė BirdCall for Android maždaug 2024 m. spalį ir sukūrė mažiausiai septynias versijas.
Atakos, kurias pastebėjo ESET, pernešė kenkėjišką programą per „sqgame(.)net“ – Kinijos svetainę, kurioje talpinami „Android“, „iOS“ ir „Windows“ žaidimai. Tačiau mokslininkai nustatė, kad „ScarCruft“ atakų taikiniai yra tik „Android“ ir „Windows“.
Konkreti platforma skirta korėjiečiams autonominiame Janbijos regione Kinijoje, kuris veikia kaip Šiaurės Korėjos perbėgėlių ir pabėgėlių perėjimo taškas.
Šaltinis: ESET
BirdCall šnipinėjimo programa
„BirdCall“ yra žinoma kenkėjiškų programų šeima, susijusi su „ScarCruft“ ir dokumentuojama nuo 2021 m. „Windows“ versija gali įrašyti klavišų paspaudimus, daryti ekrano kopijas, pavogti iš mainų srities, išfiltruoti failus ir vykdyti komandas.
ESET identifikuotoje kampanijoje pristatoma anksčiau nedokumentuota BirdCall versija, sukurta Android, kuri buvo pristatyta trojanizuojant APK tinkle sqgame(.)net.
Šaltinis: ESET
„Android“ versija „BirdCall“ turi šias galimybes:
- Ištraukia IP geografinės vietos informaciją
- Renka kontaktų sąrašą, skambučių žurnalą ir SMS
- Renka įrenginio OS, branduolį, įsišaknijusią būseną, IMEI numerį, MAC adresą, IP adresą ir tinklo informaciją
- Į C2 siunčiama informacija apie akumuliatoriaus temperatūrą, RAM ir saugyklą, debesies konfigūraciją, užpakalinių durų versiją ir dominančius failų plėtinius (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a ir .p12).
- Periodiškai daro ekrano kopijas
- Įrašo garsą per mikrofoną nuo 19:00 iki 22:00 vietos laiku
- Leidžia tylų MP3, kad būtų išvengta jo proceso sustabdymo
- Išfiltruoja failus iš nurodyto katalogo
ESET analizė rodo, kad BirdCall Android versijoje dar nėra visų komandų, esančių Windows versijoje.
Trūkstamos „Android“ galimybės apima apvalkalo komandų vykdymą, srauto tarpinį serverį, duomenų taikymą iš naršyklių ir „Messenger“ programų, failų ištrynimą ir pašalinimą bei procesų naikinimą.
„Windows“ sistemose užkrėtimo grandinė prasideda įdiegus trojanizuotą DLL (mono.dll), kuris atsisiunčia ir vykdo RokRAT, o vėliau diegia „Windows“ BirdCall versiją.
„ScurCraft“ yra pagarsėjęs tuo, kad naudoja daugybę tinkintų kenkėjiškų programų, įskaitant THUMBSBD, nukreiptą į „Windows“ sistemas, „KoSpy Android“ kenkėjišką programą, kuri anksčiau įsiskverbė į „Google Play“, M2RAT kenkėjišką programą, naudojamą tikslinėms šnipinėjimo atakoms, ir „Dolphin“ užpakalines duris mobiliesiems.
Siekiant sumažinti kenkėjiškų programų užkrėtimo riziką, vartotojams patariama atsisiųsti programinę įrangą tik iš oficialių prekyviečių ir patikimų leidėjų svetainių.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
Pretenduokite į savo vietą
