Die von ESET beobachteten Angriffe nutzten die Seite sqgame[.]net als Verbreitungsweg. Auf der Plattform wurden APK-Dateien trojanisiert, also mit Schadcode versehen, um die Android-Version von BirdCall auf die Geräte der Nutzer zu bringen. Das Angebot zielt auf die koreanischsprachige Bevölkerung in der autonomen Region Yanbian in China, die als Übergangspunkt für nordkoreanische Überläufer und Flüchtlinge dient.
BirdCall ist seit 2021 als ScarCruft zugeordnete Schadsoftware-Familie dokumentiert. Die Windows-Version kann Tastatureingaben aufzeichnen, Bildschirmfotos anfertigen, Inhalte aus der Zwischenablage stehlen, Dateien ausschleusen und Befehle ausführen.
Die Android-Variante verfügt nach der Analyse von ESET noch nicht über alle Funktionen der Windows-Fassung. Auf Android fehlen unter anderem die Ausführung von Shell-Befehlen, das Weiterleiten von Datenverkehr über einen Proxy, der Zugriff auf Daten aus Browsern und Messenger-Apps, das Löschen und Ablegen von Dateien sowie das Beenden von Prozessen.
Auf Windows-Systemen beginnt die Infektionskette mit der Installation einer trojanisierten DLL namens mono.dll. Diese lädt und startet RokRAT, das wiederum die Windows-Version von BirdCall ausliefert.
ScarCruft ist für den Einsatz einer breiten Palette eigener Schadsoftware bekannt. Dazu zählen THUMBSBD, das auf vom Netz getrennte Windows-Systeme zielt, die Android-Schadsoftware KoSpy, die zuvor in Google Play eingedrungen war, die für gezielte Spionageangriffe genutzte Schadsoftware M2RAT sowie die mobile Backdoor Dolphin.
Um das Risiko einer Infektion zu verringern, raten die Forscher dazu, Software ausschließlich aus offiziellen Marktplätzen und von vertrauenswürdigen Anbieterseiten herunterzuladen.