Die Cybersecurity-Firma ESET deckte auf, dass APT37 zwischen November 2024 und Dezember 2025 eine groß angelegte Supply-Chain-Attacke durchführte. Die Angreifer manipulierten die Website des Spieleanbieters Sqgame und verteilten über Update-Pakete die BirdCall-Backdoor an Nutzer, die die Spiele heruntergeladen hatten.
Die BirdCall-Malware ist äußerst funktionsreich: Sie kann Screenshots erstellen, Anrufe aufzeichnen, SMS-Nachrichten abfangen, Kontaktinformationen und private Schlüssel stehlen sowie Audio über das Mikrofon aufzeichnen und die Umgebung abhören. Die Android-Version wurde über mehrere Monate hinweg entwickelt; ESET-Forscher dokumentierten mindestens sieben verschiedene Versionen.
Besonders kritisch ist die Infektionsmethode: Die Opfer luden die kompromittierten Spiele über einen Webbrowser herunter und installierten sie manuell – nicht über den Google Play Store. Damit umgingen sie mögliche Sicherheitsprüfungen Googles. Das Initial-Download der App war noch nicht malös; erst nachfolgende Update-Pakete vom manipulierten Sqgame-Server führten die Malware ein.
APT37 operiert seit 2012 und ist bekannt für Spionagekampagnen gegen Südkorea und andere asiatische Länder. Die Gruppe hat bereits mehrfach nordkoreanische Defektoren, Regierungs- und Militärorganisationen ins Visier genommen. Im Jahr 2024 attackierten sie südkoreanische Akademiker und einen Nachrichtenkanal mit Fokus auf Nordkorea. Eine frühere Windows-Version von BirdCall wurde bereits 2021 von dem südkoreanischen Anbieter AhnLab entdeckt.
ESET kontaktierte Sqgame im Dezember 2025, erhielt aber keine Antwort. Nach Angaben der Forscher ist die Update-Software mittlerweile nicht mehr malös. Dennoch zeigt dieser Fall das Risikopotenzial von Apps außerhalb kuratierter App-Stores. Nutzer sollten Apps nur aus offiziellen Stores installieren und regelmäßig Sicherheitsupdates einspielen.