ScarCruft APT37 Deploys BirdCall Android Malware via Game Platform

The North Korean threat group APT37, also tracked as ScarCruft, has been observed delivering an Android variant of its BirdCall backdoor through a supply‑chain compromise of a popular mobile gaming platform. Security researchers linked the campaign to a malicious update distributed via the platform’s in‑app update mechanism, which silently installed the trojanized APK on victim devices. The attack specifically targeted users in South Korea, leveraging the trust users place in the game’s official update channel to bypass traditional defenses. This campaign marks a notable evolution in APT37’s mobile attack repertoire, as the group historically focused on Windows implants.

The Android BirdCall payload伪装成游戏辅助工具，申请了包括联系人、短信、定位和通话记录在内的广泛权限，以便进行间谍活动。样本采用AES‑256加密与硬编码的C2服务器地址进行通信，指令通过加密的JSON payload下发，允许攻击者上传文件、截取屏幕、执行shell命令以及窃取设备上保存的凭证。技术分析显示，加密密钥在每次会话开始时通过Diffie‑Hellman密钥交换协商，进一步削弱了流量检测的有效性。文件哈希（SHA‑256）0xabc123... 和 YARA 规则已由多家厂商发布，以帮助识别感染痕迹。

研究人员发现的指挥控制（C2）基础设施包括IP地址 103.x.x.x 和域名 game‑updates‑cdn[dot]com, 这些地址在受害设备的网络日志中出现频率最高。早期指标显示，受影响的APK使用了合法游戏发行商的代码签名证书，试图在安装时规避Android的“未知来源”警告。企业移动管理（EMM）平台若启用了应用完整性检查，可检测到签名不匹配或应用权限异常，从而阻止恶意软件执行。安全团队建议在网络边界封锁上述C2域名，并在移动终端部署行为分析引擎以捕获异常进程行为。

为防范类似的供应链攻击，组织应审查第三方更新渠道的安全策略，确保所有应用更新经由受控的仓库发布并使用代码签名验证。用户在安装游戏或工具时应保持设备操作系统和应用的及时更新，并仅从官方渠道或可信的企业应用商店下载。安全社区呼吁对移动供应链进行更严格的监管和审计，以防止类似的 APT 活动继续利用受信任的生态系统进行渗透。