MalwareHackerangriffeDatenschutz

Nordkoreanische Hacker verbreiten BirdCall-Malware über Android-Spielplattform

Von CyberDeutsch Redaktion
Nordkoreanische Hacker verbreiten BirdCall-Malware über Android-Spielplattform
Zusammenfassung

Die nordkoreanische Hackergruppe APT37, auch als ScarCruft bekannt, hat eine Android-Version des Backdoors BirdCall über eine Lieferketten-Attacke verbreitet. Dabei wurden trojanisierte Android-Apps auf der Gaming-Plattform sqgame[.]net manipuliert, um das Malware-Variant auf Geräte zu installieren. BirdCall ist eine bekannte Malware-Familie, die seit 2021 dokumentiert ist und ursprünglich für Windows-Systeme entwickelt wurde. Die neue Android-Variante funktioniert gleichzeitig als Spyware und wurde von ESET-Forschern erstmals im Oktober 2024 identifiziert, wobei mindestens sieben verschiedene Versionen entdeckt wurden. Die Angriffe richten sich gezielt gegen koreanische Nutzer in der chinesischen autonomen Region Yanbian, einem bekannten Durchgangsort für nordkoreanische Flüchtlinge und Überläufer. Für deutsche Nutzer und Unternehmen ist diese Bedrohung relevant, da Supply-Chain-Attacken auf mobilen Plattformen zunehmend globale Auswirkungen haben und verdeutlichen, wie wichtig die Überprüfung von App-Quellen ist. Deutsche Behörden sollten diese Entwicklung im Kontext der Beobachtung staatlich unterstützter Cyberangriffe beachten und sensibilisieren, nur aus offiziellen App-Stores herunterzuladen.

Die Sicherheitsforscher von ESET haben dokumentiert, dass ScarCruft — auch als Ricochet Chollima oder APT37 bekannt — die BirdCall-Malware speziell für Android-Systeme adaptiert hat. Die Android-Version wurde über trojanisierte APK-Dateien auf der Plattform sqgame[.]net verbreitet, die primär Spiele für Android, iOS und Windows hostet.

BirdCall ist keine neue Malware-Familie. Sie ist seit 2021 bekannt und mit ScarCruft assoziiert. Die Windows-Version verfügt über umfangreiche Spionagefunktionen: Sie kann Tastatureingaben aufzeichnen, Bildschirmfotos machen, Zwischenablage-Inhalte auslesen, Dateien exfiltrieren und Befehle ausführen.

Die neu entwickelte Android-Variante stellt eine vorher unbekannte Mutation dar. Allerdings ist die Android-Version nicht vollständig feature-identisch mit ihrer Windows-Entsprechung. Einige Funktionen der Windows-Version fehlen auf Android noch: Shell-Befehlsausführung, Traffic-Proxying, das Abgreifen von Browser- und Messenger-App-Daten sowie Datei-Löschung und Prozess-Beendigung.

Die Zielgruppe ist hochspezifisch: Die Plattform sqgame[.]net richtet sich an Koreaner in der Yanbian-Region in der chinesischen Provinz Jilin — einem bekannten Übergangsgebiet für nordkoreanische Flüchtlinge und Überläufer. Dies deutet auf eine gezielte Spionagekampagne gegen politische oder militärische Ziele hin.

Die Infektionskette auf Windows-Systemen startet mit einer trojanisierten DLL-Datei (mono.dll), die das RokRAT-Malware-Framework herunterlädt und ausführt. Dieses installiert dann die Windows-Version von BirdCall.

ScarCruft ist für sein breites Arsenal an Custom-Malware bekannt. Neben BirdCall nutzt die Gruppe THUMBSBD (zielt auf isolierte Windows-Systeme), KoSpy (Android-Malware, die früher in Google Play eindrang), M2RAT (gezielte Spionage-Angriffe) und den Dolphin-Mobile-Backdoor.

Für Nutzer und Unternehmen empfehlen Sicherheitsexperten klare Maßnahmen: Software sollte ausschließlich aus offiziellen App-Stores und vertrauenswürdigen Herausgebern heruntergeladen werden. Das BSI rät zusätzlich zur regelmäßigen Überprüfung von Sicherheitsupdates und zur Aktivierung von Geräteverwaltungsfunktionen. Für Unternehmen ist eine Supply-Chain-Security-Strategie entscheidend, um trojanisierte Anwendungen frühzeitig zu erkennen.

Ähnliche Artikel