Kelompok peretas asal Korea Utara, APT37, dilaporkan telah mendistribusikan versi Android dari sebuah backdoor (pintu belakang) yang disebut BirdCall. Mereka melancarkan kampanye ini melalui serangan rantai pasokan (supply-chain attack) yang menyasar sebuah platform video game.
Meskipun BirdCall sebelumnya lebih dikenal sebagai backdoor berbahaya untuk sistem Windows, APT37—yang juga beroperasi dengan nama ScarCruft dan Ricochet Chollima—kini telah mengembangkan varian khusus untuk Android yang berfungsi ganda sebagai spyware (perangkat lunak mata-mata).
Menurut peneliti dari perusahaan keamanan siber ESET, aktor ancaman tersebut mulai menciptakan BirdCall untuk Android sekitar bulan Oktober 2024 dan setidaknya telah mengembangkan tujuh versi yang berbeda.
Menargetkan Pembelot Lewat Platform Game
Dalam serangan yang diamati oleh ESET, malware ini didistribusikan melalui sqgame[.]net, sebuah situs asal Tiongkok yang menaungi berbagai game untuk Android, iOS, dan Windows. Namun, para peneliti menemukan bahwa ScarCruft hanya menargetkan perangkat Android dan Windows.
Platform game spesifik ini rupanya melayani etnis Korea yang berada di wilayah otonom Yanbian di Tiongkok. Wilayah ini secara strategis sering bertindak sebagai titik persimpangan utama bagi para pembelot dan pengungsi asal Korea Utara.
Mata-mata Ganas di Balik File APK
Keluarga malware BirdCall yang terkait dengan ScarCruft ini telah didokumentasikan sejak tahun 2021. Versi Windows-nya dikenal mampu merekam ketukan keyboard (keylogging), mengambil tangkapan layar, mencuri data dari clipboard, mengeksfiltrasi file, dan mengeksekusi perintah.
Kampanye baru yang diidentifikasi oleh ESET ini memperkenalkan versi Android dari BirdCall yang sebelumnya belum pernah didokumentasikan. Malware ini dikirim dengan menyisipkan trojan ke dalam file instalasi APK di platform sqgame[.]net.
Varian Android BirdCall ini memiliki serangkaian kemampuan pengintaian yang mengerikan, antara lain:
- Mengekstrak informasi geolokasi IP korban.
- Mengumpulkan daftar kontak, log panggilan, dan pesan SMS.
- Merampas informasi perangkat yang mendalam (OS, kernel, status root, nomor IMEI, alamat MAC, alamat IP, dan info jaringan).
- Mengirimkan informasi ke server Command and Control (C2) terkait suhu baterai, RAM, penyimpanan, konfigurasi cloud, dan berbagai ekstensi file yang diminati peretas (seperti
.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a,dan.p12). - Mengambil tangkapan layar (screenshot) secara berkala.
- Merekam audio melalui mikrofon secara diam-diam (khususnya dari pukul 19:00 hingga 22:00 waktu setempat).
- Memutar file MP3 “diam” (silent) dalam putaran berulang (loop) untuk mencegah sistem operasi menangguhkan atau mematikan proses malware di latar belakang.
- Mengeksfiltrasi file dari direktori yang ditentukan.
Perbedaan dengan Versi Windows
Analisis ESET menunjukkan bahwa versi Android BirdCall saat ini belum memiliki semua perintah dan kemampuan merusak yang ada pada versi Windows. Kemampuan yang masih absen di Android meliputi eksekusi perintah shell, proksi lalu lintas data, penargetan data dari peramban (browser) dan aplikasi pesan, penghapusan file, serta kemampuan untuk mematikan proses sistem.
Sementara itu, pada sistem Windows yang diunduh dari situs yang sama, rantai infeksi dimulai dengan instalasi DLL yang disusupi trojan (mono.dll). File ini kemudian mengunduh dan mengeksekusi RokRAT, yang pada akhirnya menyebarkan BirdCall versi Windows.
ScurCraft sendiri memang terkenal dengan rekam jejaknya dalam menggunakan berbagai malware kustom. Beberapa ciptaan mereka sebelumnya meliputi THUMBSBD (menargetkan sistem Windows air-gapped), KoSpy (malware Android yang pernah menyusup ke Google Play), M2RAT (digunakan dalam serangan spionase bertarget), dan backdoor seluler Dolphin.
Untuk meminimalkan risiko infeksi, pengguna sangat disarankan untuk hanya mengunduh perangkat lunak dan aplikasi game dari toko aplikasi resmi (seperti Google Play Store) atau situs penerbit yang telah terverifikasi keamanannya.