Nordkoreanische Gruppe APT37 griff Koreaner in China mit Android-Malware „BirdCall" an

Zusammenfassung

Die Sicherheitsfirma ESET hat eine Spionagekampagne aufgedeckt, die sich gegen ethnische Koreaner in der chinesischen Region Yanbian richtete. Die Forscher schreiben die Aktion der nordkoreanischen Hackergruppe APT37 zu, die eine Backdoor an eine Sammlung von Kartenspielen des Anbieters Sqgame koppelte. Die von ESET als BirdCall bezeichnete Schadsoftware erlaubte es den Angreifern unter anderem, Screenshots anzufertigen, Anrufe aufzuzeichnen und persönliche Daten abzugreifen. Yanbian liegt an der Grenze zu Nordkorea und wird häufig als „drittes Korea" bezeichnet. Nach Einschätzung von ESET zielte die Kampagne wahrscheinlich auf Flüchtlinge oder Überläufer aus dem nordkoreanischen Regime. Ursprünglich galt die Backdoor als reine Windows-Bedrohung, später wurde jedoch eine Android-Variante entdeckt. Über diese kann APT37 Kontaktdaten, SMS-Nachrichten, Anrufprotokolle, Mediendateien und private Schlüssel sammeln. Die Android-Version wurde über mehrere Monate hinweg entwickelt; ESET fand insgesamt sieben Versionen davon. Die Opfer luden die manipulierten Spiele laut den Forschern typischerweise über einen Browser herunter und installierten sie direkt, ohne den Umweg über den Google Play Store.

Laut ESET-Forscher Filip Jurčacko war die Datei, die Betroffene zunächst von der Sqgame-Website herunterluden, nicht schädlich. Bösartig wurde sie erst durch ein nachgeliefertes Update-Paket der Plattform, die seit mindestens November 2024 kompromittiert war. Wann die Website erstmals unterwandert wurde und der Angriff auf die Lieferkette begann, ließ sich nach Angaben von Jurčacko nicht bestimmen.

Beim ersten Start übermittelt die Malware den Angreifern zahlreiche Informationen über das Gerät. Den Forschern zufolge kann sie zudem über das Mikrofon Audio aufzeichnen und die Umgebung des betroffenen Geräts abhören. Außerdem durchsucht sie angeschlossene externe Speicher nach bestimmten Dateitypen.

APT37 ist seit 2012 aktiv und soll dem nordkoreanischen Ministerium für Staatssicherheit zugeordnet sein. Die Gruppe konzentriert sich überwiegend auf Spionagekampagnen gegen Südkorea und andere asiatische Länder und hat in der Vergangenheit Regierungs- und Militäreinrichtungen sowie nordkoreanische Überläufer ins Visier genommen.

Die von APT37 genutzte Windows-Variante von BirdCall wurde 2021 zunächst vom südkoreanischen Sicherheitsanbieter AhnLab und weiteren Akteuren entdeckt. ESET kontaktierte Sqgame nach eigenen Angaben im Dezember 2025, erhielt jedoch keine Antwort. Das Update-Paket ist inzwischen nicht mehr schädlich.

Es ist nicht der erste Fall dieser Art: Im vergangenen Jahr stießen Forscher auf eine weitere von APT37 entwickelte Android-Spyware, die in Apps eingebettet war, die sich im Google Play Store finden ließen. 2024 soll die Gruppe zudem südkoreanische Wissenschaftler und ein auf Nordkorea spezialisiertes Nachrichtenportal angegriffen haben.

Nordkoreanische Gruppe APT37 griff Koreaner in China mit Android-Malware „BirdCall" an

Ähnliche Artikel

Neueste Artikel