Die Windows-Variante von BirdCall, die ESET als fortgeschrittene Weiterentwicklung von RokRAT einordnet, wird seit 2021 beobachtet. RokRAT wurde im Lauf der Jahre auch für macOS (CloudMensis) und Android (RambleOn) angepasst — ein Hinweis darauf, dass die Schadsoftware-Familie von den Tätern weiterhin aktiv gepflegt wird.

BirdCall bringt die für eine Backdoor typischen Funktionen mit: Screenshots, Mitschneiden von Tastatureingaben, Diebstahl von Zwischenablage-Inhalten, Ausführen von Shell-Befehlen und Sammeln von Daten. Wie RokRAT nutzt die Malware legitime Cloud-Dienste wie Dropbox und pCloud zur Steuerung (Command-and-Control). Laut ESET wird BirdCall in der Regel über eine mehrstufige Ladekette ausgeliefert, die mit einem Ruby- oder Python-Skript beginnt und Komponenten enthält, die mit einem rechnerspezifischen Schlüssel verschlüsselt sind.

Die Android-Version von BirdCall, die über den Supply-Chain-Angriff auf sqgame[.]net verteilt wurde, übernimmt einen Teil der Funktionen ihres Windows-Pendants. Sie sammelt unter anderem Kontaktlisten, SMS-Nachrichten, Anruflisten, Mediendateien, Dokumente, Screenshots und Umgebungsaudio. Eine Analyse der Abstammung der Malware förderte sieben Versionen zutage; die erste stammt vom Oktober 2024.

Bemerkenswert ist, dass der Angriff nur die zum Download angebotenen Android-APKs vergiftet hat, während der Windows-Desktop-Client und die iOS-Spiele unangetastet blieben. Die Download-Seiten zweier auf sqgame[.]net gehosteter Android-Spiele wurden so verändert, dass sie die manipulierten APKs ausliefern.

Wann genau die Website kompromittiert wurde und ab wann die vergifteten APKs verteilt wurden, ist nicht bekannt; vermutet wird ein Zeitpunkt gegen Ende 2024. Zudem gibt es Hinweise, dass ein Update-Paket des Windows-Desktop-Clients seit mindestens November 2024 und über einen unbestimmten Zeitraum eine trojanisierte DLL auslieferte. Das Update-Paket ist inzwischen nicht mehr schädlich.

Die veränderte DLL enthielt einen Downloader, der die Liste laufender Prozesse auf Analysewerkzeuge und virtuelle Maschinen prüft, bevor er Shellcode mit RokRAT herunterlädt und ausführt. Über diese Backdoor wird anschließend BirdCall auf die befallenen Systeme nachgeladen und installiert.

Auch die Android-Version von BirdCall stützt sich für die C2-Kommunikation auf legitime Cloud-Speicherdienste, darunter pCloud, Yandex Disk und Zoho WorkDrive — letzterer taucht laut ESET zunehmend in verschiedenen Kampagnen auf. Die Android-Backdoor werde aktiv weiterentwickelt und biete Überwachungsfunktionen wie das Sammeln persönlicher Daten und Dokumente, das Anfertigen von Screenshots sowie Sprachaufnahmen.