ScarCruft hackers push BirdCall Android malware via game platform
Mis à jour :
Espionnage via une plateforme de jeu : Le groupe APT37 déploie le malware BirdCall sur Android
Le groupe de hackers nord-coréen APT37 (alias ScarCruft) a compromis la plateforme de jeux en ligne sqgame.net pour distribuer une variante mobile du logiciel espion BirdCall. Initialement connu pour ses capacités d’espionnage sur Windows, ce backdoor a été adapté pour Android afin de cibler les utilisateurs de la région autonome de Yanbian en Chine.
Points clés :
- Nature de l’attaque : Attaque par chaîne d’approvisionnement via des fichiers APK piégés.
- Cibles : Utilisateurs d’Android et de Windows dans une zone géographique stratégique pour les transfuges nord-coréens.
- Fonctionnement : Le malware utilise une boucle de lecture MP3 silencieuse pour rester actif en arrière-plan et éviter la suspension par le système.
- Capacités d’espionnage :
- Collecte de données personnelles (contacts, SMS, historique d’appels, géolocalisation).
- Exfiltration de fichiers sensibles (.doc, .pdf, .xls, .p12, etc.).
- Enregistrement audio via le microphone (créneaux 19h-22h) et captures d’écran périodiques.
- Récupération d’informations système détaillées (IMEI, état du root, adresses MAC).
Vulnérabilités : L’attaque repose sur l’installation d’applications provenant de sources non officielles (sideloading). Aucune CVE spécifique n’est mentionnée, car la menace exploite la confiance des utilisateurs envers la plateforme de jeu pour inciter à l’installation d’applications malveillantes (trojanisées).
Recommandations :
- Sources fiables uniquement : Ne télécharger et n’installer des applications que depuis les boutiques officielles (Google Play Store, App Store).
- Vigilance accrue : Se méfier des plateformes de jeux tierces, particulièrement celles proposant des logiciels gratuits ou hébergées en dehors des réseaux de distribution sécurisés.
- Gestion des permissions : Inspecter systématiquement les autorisations demandées par une application lors de l’installation et restreindre les accès aux fonctionnalités critiques (micro, SMS, stockage) si cela n’est pas strictement nécessaire au fonctionnement du service.