Descoberta e escopo da campanha
Uma nova campanha de espionagem cibercibernética foi identificada e atribuída ao grupo de ameaças APT37, também conhecido como ScarCruft, por pesquisadores da empresa de segurança ESET. O ataque foca em coreanos étnicos na China e utiliza uma variante do malware BirdCall, distribuída através de um backdoor embutido em uma suíte de jogos de cartas desenvolvida pela empresa Sqgame. A descoberta destaca a persistência de atores patrocinados por estados-nação no uso de cadeias de suprimentos de software para atingir alvos específicos geograficamente.
A campanha representa um avanço significativo nas táticas de espionagem, pois combina a sofisticação do APT37 com a ubiquidade de aplicativos de jogos móveis. Ao comprometer a cadeia de suprimentos de um desenvolvedor de jogos, os atacantes conseguem disseminar o malware para uma base de usuários ampla e diversificada, aumentando as chances de atingir o alvo primário sem levantar suspeitas imediatas.
Vetor de ataque e exploração
O vetor de ataque principal identificado nesta operação é a distribuição de aplicativos móveis Android comprometidos. Os pesquisadores da ESET observaram que o malware BirdCall foi anexado a uma suíte de jogos de cartas fornecida pela Sqgame. Isso indica um ataque de cadeia de suprimentos (supply chain attack), onde o desenvolvedor legítimo é comprometido ou cooptado para distribuir o código malicioso.
O malware BirdCall atua como um backdoor, permitindo que os atacantes estabeleçam uma conexão persistente com os dispositivos infectados. Uma vez instalado, o software malicioso pode exfiltrar dados sensíveis, monitorar atividades do usuário e manter acesso remoto ao dispositivo. A escolha de um aplicativo de jogos como vetor é estratégica, pois os usuários tendem a conceder permissões elevadas e a manter o aplicativo instalado por longos períodos, facilitando a operação contínua dos atacantes.
Impacto e alcance geográfico
O escopo deste ataque é geograficamente direcionado, focando em coreanos étnicos na China. Isso sugere motivações de inteligência política ou de segurança nacional, alinhadas com as atividades históricas do APT37. O grupo é conhecido por operações de espionagem que visam governos, organizações de defesa e entidades relacionadas à segurança em várias regiões da Ásia e do Pacífico.
A utilização de jogos de cartas como isca é particularmente eficaz para este perfil de alvo. Jogos populares entre a diáspora coreana na China podem ser usados para atrair a atenção do grupo-alvo, minimizando a desconfiança. O impacto potencial inclui o comprometimento de comunicações privadas, roubo de informações pessoais e, possivelmente, acesso a redes corporativas se os dispositivos forem usados para trabalho.
Análise técnica do malware birdcall
O malware BirdCall é uma ferramenta de acesso remoto (RAT) que tem sido associada a campanhas de espionagem anteriores. Sua arquitetura permite a execução de comandos remotos, captura de tela, gravação de áudio e acesso a arquivos no dispositivo. A integração com a suíte de jogos da Sqgame indica que o código malicioso foi injetado durante o processo de desenvolvimento ou distribuição do aplicativo.
Os atacantes provavelmente exploraram vulnerabilidades no processo de build ou comprometeram o repositório de código da Sqgame para inserir o backdoor. Isso destaca a necessidade de verificação de integridade de aplicativos e monitoramento de repositórios de código para desenvolvedores de software. A persistência do malware no dispositivo permite que os atacantes mantenham o acesso mesmo após reinicializações ou atualizações do sistema operacional.
Implicações para a segurança corporativa
Este incidente reforça a necessidade de uma postura de segurança robusta para dispositivos móveis corporativos (MDM) e políticas de uso aceitável. Funcionários que utilizam dispositivos pessoais para trabalho devem ser orientados sobre os riscos de instalar aplicativos de fontes não verificadas. A segmentação de redes e o uso de containers de trabalho podem ajudar a isolar dados corporativos de aplicativos potencialmente comprometidos.
Além disso, a segurança da cadeia de suprimentos de software deve ser uma prioridade para desenvolvedores e empresas que dependem de aplicativos de terceiros. A verificação de assinaturas digitais, o monitoramento de repositórios de código e a auditoria de terceiros são medidas essenciais para prevenir ataques semelhantes. A falha em proteger a cadeia de suprimentos pode resultar em comprometimento em massa de usuários finais.
Medidas de mitigação recomendadas
Para mitigar os riscos associados a esta campanha, as organizações devem adotar as seguintes medidas:
- Verificação de aplicativos: Implementar políticas que proíbam a instalação de aplicativos de fontes não oficiais ou não verificadas.
- Monitoramento de dispositivos: Utilizar soluções de segurança móvel que possam detectar comportamentos anômalos e malware conhecido.
- Educação do usuário: Treinar funcionários para identificar sinais de aplicativos comprometidos e relatar atividades suspeitas.
- Atualizações de segurança: Manter todos os dispositivos e aplicativos atualizados com as últimas correções de segurança.
- Segmentação de rede: Isolar dispositivos móveis em redes separadas para limitar o acesso a recursos críticos.
Comparação com ataques anteriores
Esta campanha segue o padrão de operações do APT37, que tem histórico de usar táticas de engenharia social e cadeia de suprimentos para atingir seus objetivos. Ataques anteriores do grupo incluíram o uso de documentos maliciosos e campanhas de phishing direcionadas. A evolução para o uso de aplicativos móveis e jogos de cartas demonstra a adaptação dos atacantes às mudanças no comportamento dos usuários e na tecnologia móvel.
A similaridade com campanhas anteriores de espionagem sugere que os mesmos grupos ou atores podem estar envolvidos. A análise forense e a correlação de indicadores de comprometimento (IOCs) com campanhas passadas podem ajudar a identificar a extensão do comprometimento e a origem dos ataques.
Perguntas frequentes
Como saber se meu dispositivo foi comprometido?
Procure por comportamentos anômalos, como consumo excessivo de bateria, dados móveis ou aplicativos desconhecidos instalados. Utilize ferramentas de segurança móvel para escanear o dispositivo.
Devo desinstalar aplicativos de jogos?
Se você suspeitar que um aplicativo foi comprometido, desinstale-o imediatamente e altere suas senhas. Verifique se o aplicativo foi baixado de uma fonte oficial.
Qual é o risco para empresas?
O risco é significativo, especialmente para empresas que dependem de dispositivos móveis para operações críticas. O comprometimento de um dispositivo pode levar ao vazamento de dados sensíveis e acesso não autorizado a redes corporativas.
O que os CISOs devem fazer imediatamente
Os Chief Information Security Officers (CISOs) devem revisar imediatamente as políticas de segurança móvel e garantir que os dispositivos corporativos estejam protegidos contra ameaças de cadeia de suprimentos. A comunicação com os desenvolvedores de aplicativos de terceiros é essencial para verificar a integridade dos softwares utilizados. Além disso, a implementação de soluções de detecção e resposta em endpoints (EDR) móveis pode fornecer visibilidade sobre atividades maliciosas em tempo real.
A colaboração com comunidades de inteligência de ameaças e compartilhamento de IOCs com parceiros do setor pode ajudar a identificar e bloquear campanhas semelhantes antes que causem danos significativos. A preparação para incidentes deve incluir cenários de comprometimento de cadeia de suprimentos, garantindo que as equipes de resposta estejam prontas para agir rapidamente.