Tu teléfono te está escuchando — no es paranoia: hackers hallan nueva forma de espiar a través de juegos móviles
Parece que ha llegado el momento de tapar la cámara, y no solo en los portátiles.
La descarga habitual de un juego móvil podría haber terminado con la infección del teléfono por software espía. Los especialistas de ESET descubrieron, que el grupo ScarCruft, que vinculan con Corea del Norte, comprometió una plataforma de juegos para coreanos étnicos en la región china de Yanbian y le incorporó la puerta trasera BirdCall. Se trata del servicio sqgame[.]net, donde se alojaban juegos relacionados con la temática local.
La elección de la plataforma parece no ser casual. ScarCruft lleva muchos años interesándose por desertores norcoreanos, defensores de derechos humanos y profesores universitarios. Yanbian también se considera una de las zonas de tránsito más peligrosas para las personas que cruzan el río Tumen y abandonan Corea del Norte.
El ataque probablemente comenzó a finales de 2024. Los atacantes modificaron componentes de la plataforma para Android y Windows, pero los archivos APK maliciosos se distribuían solo a través de las páginas de descarga de varios juegos para Android. Según los especialistas, las versiones para iOS no se vieron afectadas. En Windows, al menos desde noviembre de 2024, una actualización de uno de los componentes de la plataforma entregaba una biblioteca DLL modificada. Actualmente ese paquete ya no distribuye código malicioso.
En general, BirdCall se hallaba anteriormente principalmente en Windows. Los especialistas de ESET describen la puerta trasera como una evolución de RokRAT —una herramienta que ScarCruft ha utilizado desde hace tiempo en campañas de espionaje. En los últimos años esta familia se adaptó a macOS y Android, y la nueva operación mostró que el grupo continúa desarrollando la plataforma maliciosa y ampliando su abanico de objetivos.
En Windows, BirdCall toma capturas de pantalla, registra pulsaciones de teclas, roba el contenido del portapapeles, ejecuta comandos y recopila datos del equipo infectado. Para comunicarse con los operadores, la puerta trasera utiliza servicios en la nube convencionales, incluidos Dropbox y pCloud, lo que ayuda a enmascarar el tráfico malicioso.
La versión para Android no recibió todas las funciones de la variante para Windows, pero aun así sirve para la vigilancia encubierta. La puerta trasera recopila contactos, SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla y grabaciones del sonido ambiente. Para comunicarse con los operadores, la versión móvil de BirdCall recurre a los servicios pCloud y Zoho WorkDrive.
ESET detectó siete versiones del backdoor para Android; la más antigua data de octubre de 2024. Según la empresa, ScarCruft continúa perfeccionando la herramienta, y la operación maliciosa no está dirigida a infectar masivamente a jugadores, sino a vigilar a grupos concretos de personas.