Die nordkoreanische Gruppe ScarCruft kompromittierte die Spieleplattform sqgame.net und verbreitete darüber die Schadsoftware BirdCall – jetzt erstmals auch als Android-Version.
Supply-Chain-Angriff über Spiele-Downloads
Die Hackergruppe ScarCruft – auch bekannt als APT37 oder Ricochet Chollima – infiltrierte die Infrastruktur der Plattform sqgame.net. Die Seite wird vor allem von ethnischen Koreanern in der chinesischen Region Yanbian genutzt, die an Nordkorea und Russland grenzt.
Angriffe wie BirdCall zeigen, wie leicht Hacker die Kontrolle über Mobilgeräte übernehmen können, wenn grundlegende Sicherheitsvorkehrungen fehlen. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihr Android-Smartphone mit 5 einfachen Schritten effektiv vor Spionage und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Angreifer präparierten mindestens zwei Android-Spiele mit dem BirdCall-Backdoor. Wer die Apps herunterlud, gab den Hackern unbewusst vollen Zugriff auf sein Mobilgerät. Auch die Windows-Komponenten der Plattform waren betroffen: Eine infizierte Programmbibliothek lud zunächst den bekannten RokRAT-Trojaner nach, der dann die spezialisierte BirdCall-Malware installierte.
Die Wahl der Plattform war strategisch. Yanbian gilt als wichtiger Transitpunkt für nordkoreanische Geflüchtete. Die Kampagne richtet sich gezielt gegen Aktivisten, Professoren und Überläufer. Die Infrastruktur wurde vermutlich bereits seit Ende 2024 für diese Zwecke missbraucht.
BirdCall als vollwertige mobile Spyware
Die Android-Variante von BirdCall markiert einen Wendepunkt. Bisher war die Malware nur für Windows dokumentiert. Die mobile Version fungiert als vollwertige Spyware und wurde seit Oktober 2024 in mindestens sieben Versionen weiterentwickelt.
Zu den Kernfunktionen gehören das Auslesen von Kontaktlisten, SMS-Nachrichten, Anrufprotokollen und Standortdaten. Besonders perfide: Die Software ist darauf programmiert, zwischen 19:00 und 22:00 Uhr Ortszeit heimlich Tonaufnahmen über das Mikrofon zu machen. Damit das Betriebssystem den Prozess nicht beendet, spielt die App eine lautlose MP3-Datei in Endlosschleife ab – das System geht von aktiver Medienwiedergabe aus und priorisiert den Prozess.
Die Kommunikation mit den Command-and-Control-Servern läuft über legitime Cloud-Dienste wie Dropbox, pCloud oder Zoho WorkDrive. So verschmilzt der bösartige Datenverkehr mit regulärem Traffic und umgeht einfache Sicherheitsfilter.
ScarCruft: Präzision statt Breitband
Die Gruppe gilt als dem nordkoreanischen Staat nahestehend und hat eine lange Historie in der Entwicklung maßgeschneiderter Schadsoftware. BirdCall ist eine Weiterentwicklung früherer Malware-Familien wie RokRAT oder RambleOn, weist aber eine eigenständige, komplexere Architektur auf.
„Die Identifizierung der trojanisierten APK-Dateien wurde erst durch die Analyse verdächtiger Uploads auf Plattformen wie VirusTotal möglich“, erklärt Filip Jurčacko, Senior Malware Researcher bei ESET. Die manipulierten Spiele waren zum Zeitpunkt der Berichterstattung noch immer auf sqgame.net verfügbar – ein Beleg für die Langlebigkeit solcher Operationen.
Die Angreifer setzen auf Sideloading: Nutzer in der Zielregion installieren Apps direkt über den Browser und ignorieren dabei oft Sicherheitswarnungen. Einen Weg in den Google Play Store fanden die infizierten Versionen nicht.
Die Evolution mobiler Spionage
Mobile Endgeräte sind längst zum primären Ziel staatlicher Spionageakteure geworden. Sie erfassen nicht nur digitale Kommunikation, sondern auch Bewegungsprofile und Gespräche im physischen Raum. Die Tarnung als harmlose Spiele-Apps senkt die Hemmschwelle der Opfer und umgeht klassische Sicherheitskonzepte.
Die Portierung von BirdCall auf Android deutet auf eine integrierte Entwicklungsstrategie hin. Die Fähigkeit, IMEI-Nummern, MAC-Adressen und Kernel-Informationen auszulesen, erlaubt es den Angreifern, infizierte Geräte über lange Zeiträume zu verfolgen – selbst nach Sicherheitsupdates.
Supply-Chain-Angriffe haben im ersten Quartal 2026 quantitativ und qualitativ zugenommen. Neben der Gaming-Branche waren zuletzt auch Anbieter von System-Tools und Kommunikationslösungen betroffen.
Ein veraltetes System ist oft das größte Einfallstor für Cyberkriminelle, die es auf Ihre privaten Daten abgesehen haben. Dieser kostenlose Report erklärt verständlich, wie Sie Sicherheitslücken durch die richtigen Updates dauerhaft schließen. Android-Updates installieren und Gerät absichern
Was Nutzer jetzt beachten sollten
Für die Gaming-Branche bedeutet der Vorfall eine Verschärfung der Sicherheitsanforderungen. Experten raten zu kontinuierlichen automatisierten Scans von Download-Servern und strengerer Kontrolle von Code-Signing-Zertifikaten.
Endnutzer sollten Software ausschließlich aus offiziellen Quellen beziehen und die Installation aus unbekannten Quellen in den Systemeinstellungen deaktivieren. Da die Infrastruktur hinter BirdCall teilweise noch aktiv ist, müssen Sicherheitsbehörden ihre Erkennungsmuster für Cloud-basierte Exfiltrationsmethoden schärfen.
Die Entdeckung von sieben Versionen innerhalb weniger Monate deutet darauf hin, dass ScarCruft bereits an weiteren Updates arbeitet. In einem Umfeld, in dem mobile Spyware zunehmend als Werkzeug für geopolitische Interessen dient, rückt die Absicherung des Smartphones ins Zentrum globaler Sicherheitsstrategien.
