Már a kikapcsolódás sem szent: a legfrissebb (felfedezett) Észak-koreai backdoor egy olyan trójai, ami nem csupán a játékok alatt nyújtott teljesítményedre kíváncsi, minden más adatodat is ellopja mobilodról és PC-dről. Az új kártevőt az ESET biztonsági laborja fedezte fel, és nyomozásuk során kiderült, hogy a már jól ismert, észak-koreai kötődésű ScarCruft (más néven APT37 vagy Reaper) csoporthoz köthető.
Ez a csapat eddig diplomáciai vagy kriptovaluta-elleni támadásairól volt híres, ám most a gamerek kerültek fókuszba. A célkeresztbe került gaming platform az Sqgame, amivel különösen a Kínában élő koreaiakat, köztük észak-koreai disszidenseket és menekülteket vettek célba.
A támadássorozat vélhetően 2024 végén indult, és a ScarCruftnak sikerült a platform windowsos és androidos komponenseit is megfertőznie. A kutatók által BirdCall névre keresztelt backdoor képességei platformfüggőek, de mindkét esetben kiterjedt kémkedési eszköztárat biztosítanak a támadóknak.
Windows környezetben a BirdCall klasszikus kiberkém-funkciókat vonultat fel: képernyőképeket készít, billentyűleütéseket naplóz (keylogging), figyeli a vágólap tartalmát, tetszőleges parancsokat hajt végre a parancssorban és adatokat szivárogtat ki. Érdekesség, hogy az ellopott információkat nem saját szerverekre, hanem legális felhőszolgáltatásokba, például Dropboxba vagy pCloudba tölti fel, hogy elkerülje a hálózati forgalomelemző eszközök riasztását.
Mobilon agresszívabb a kártevő. Az androidos variáns nemcsak a névjegyeket, SMS-eket és hívásnaplókat húzza le, hanem hozzáfér a médiafájlokhoz, dokumentumokhoz és képes a környezeti hangok rögzítésére is - gyakorlatilag lehallgatókészülékké alakítva a telefont. Az ESET szerint a kártevőt aktívan fejlesztik és javítják. Eddig hét különböző frissítést azonosítottak, ami arra utal, hogy a támadók folyamatosan csiszolják a kódot a lebukás elkerülése végett. Szerencsére ezúttal ez nem sikerült nekik.
Tekintve, hogy Európában nem kimondottan népszerű gaming platformról van szó, remélhetőleg a magyarországi fertőzés veszélye alacsony, azonban a jelenség ijesztő és mindenképpen foglalkozni kell vele. Jelen esetben is a célközönség földrajzilag és etnikailag behatárolt, vagyis célzott támadásról beszélhetünk, ráadásul az is nyilvánvaló, hogy állami hackercsoport műve. Ez azt jelenti, hogy bármikor bekövetkezhet, hogy olyan csoport kerül célkeresztbe, aminek te is tagja vagy, ráadásul a támadáshoz bármely, hétköznapi platformot képesek veszélyes fegyverré alakítani a kiberbűnözők.
