Um novo estudo da ESET revela que o grupo norte-coreano APT37 teria inserido o backdoor BirdCall em aplicativos da plataforma SQGames, visando monitorar refugiados e dissidentes na região de Yanbian.
Um esquema de espionagem digital está utilizando jogos para vigiar uma comunidade coreana em Yanbian, China. De acordo com a pesquisa da ESET, a autoria é do grupo ScarCruft, também conhecido como APT37 ou Reaper, que atua sob os auspícios do governo norte-coreano desde pelo menos 2012.
O ataque, que parece ter começado no final de 2024, comprometeu tanto versões para Windows quanto para Android dos jogos disponíveis na plataforma SQGames, a qual oferece títulos tradicionais da região, como jogos de cartas e tabuleiro.
Jogos móveis comprometidos desde o início
Dois games para Android hospedados no site SQGames foram identificados com um backdoor embutido. Esse tipo de malware permite acesso oculto aos dispositivos das vítimas, possibilitando a coleta de dados sem que os usuários tenham consciência disso.
O malware, chamado BirdCall, já era conhecido em sua versão para Windows desde 2021, mas a variante para Android foi descoberta recentemente. O código interno do malware utiliza o nome “zhuagou”, que significa “pegar cachorros” em chinês.
De acordo com as investigações, o ScarCruft não conseguiu acessar o código-fonte dos jogos. Em vez disso, o grupo obteve os arquivos originais, introduziu o código malicioso e os reinseriu no servidor, substituindo as versões legítimas. Assim, ao baixar os jogos pelo site, os usuários instalavam o malware sem perceber.
Atuação do vírus nos dispositivos móveis
Uma vez que o jogo infectado é iniciado, o BirdCall opera em segundo plano, começando a coletar uma lista completa dos arquivos do aparelho, juntamente com contatos, registros de chamadas e mensagens SMS.
Em seguida, o malware opera periodicamente, enviando informações básicas do dispositivo para servidores dos atacantes, inclusive modelo do aparelho, endereço IP e localização geográfica aproximada.
O BirdCall também procura arquivos com determinadas extensões para enviá-los aos atacantes, abrangendo fotos, documentos do Word e Excel, PDFs, apresentações em PowerPoint, e arquivos de certificado digital. Isso significa que tanto dados pessoais quanto profissionais estão em risco.
Comunicação discreta com os atacantes
Para transmitir os dados coletados sem levantar suspeitas, o BirdCall utiliza serviços legítimos de armazenamento em nuvem. Durante a investigação, foram identificadas 12 contas no serviço Zoho WorkDrive que serviram como canal de comunicação entre o malware e os invasores.
Essa abordagem é comum em grupos de espionagem avançados, pois o tráfego em serviços conhecidos, como Zoho ou pCloud, é frequentemente ignorado por ferramentas de segurança.
Outra abordagem na versão para Windows
No computador, a abordagem foi algo diferente. O instalador do cliente Windows no site estava livre de malware, mas as atualizações automáticas do programa estavam comprometidas desde novembro de 2024. Quando o software era atualizado, os usuários recebiam uma versão alterada de um arquivo de sistema.
Esse arquivo carregava um outro malware chamado RokRAT, que então instalava o BirdCall no computador. O RokRAT já era conhecido anteriormente por sua associação ao ScarCruft. Por ocasião da análise, o arquivo de atualização malicioso já havia sido substituído por uma versão limpa.
Os alvos e suas motivações
A região de Yanbian abriga a maior comunidade coreana fora da península, e sua localização estratégica, na fronteira com a Coreia do Norte, a torna um ponto de passagem para refugiados e dissidentes.
A pesquisa conclui que o principal objetivo dessa campanha era coletar informações sobre pessoas nessa área, especialmente refugiados e dissidentes, que possam ser de interesse do regime norte-coreano. O ScarCruft tem um histórico de ataques direcionados a esse tipo de alvo, além de organizações militares e governamentais na Ásia.
A evolução do BirdCall em poucos meses
A versão Android do BirdCall passou por um intenso desenvolvimento entre outubro de 2024 e junho de 2025, com o surgimento de sete versões distintas, da 1.0 à 2.0, indicando que o grupo continuou a aprimorar sua ferramenta ao longo desse período.
A ESET notificou a plataforma SQGames sobre a infecção em dezembro de 2025, mas não obteve resposta. No momento em que a pesquisa foi publicada, os arquivos maliciosos ainda estavam acessíveis no site.
Acompanhe o TecMania nas redes sociais. Para mais novidades sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
