APT37 针对中国境内朝鲜族人使用 Android BirdCall 恶意软件

APT37 Targets Ethnic Koreans in China With Android BirdCall Malware

执行摘要

根据ESET研究人员的报告，朝鲜的APT37黑客组织一直在针对中国延边地区的朝鲜族人，通过一个名为BirdCall的未记录的Android后门进行攻击，该后门通过一个被破坏的移动游戏平台传播。自2024年11月以来，供应链攻击至少破坏了Sqgame公司的网站，该公司生产一系列纸牌游戏。通过网页浏览器下载游戏并侧载它们的受害者收到了一个良性的初始文件，但随后的恶意更新包部署了BirdCall后门。该恶意软件使攻击者能够通过麦克风录制音频、捕获屏幕截图、记录通话、窃取短信消息、外泄联系人列表，并从外部存储中提取私钥。ESET识别出七个不同的Android BirdCall变体版本，表明持续开发了数月。该活动似乎针对居住在与朝鲜接壤的延边地区的朝鲜脱北者和难民，有时该地区被称为“第三朝鲜”。

技术分析

ESET研究员Filip Jurčacko在2026年5月6日发布的报告中详细描述了感染链。当受害者访问被破坏的Sqgame网站并下载纸牌游戏的Android应用程序包（APK）时，攻击开始。初始APK是干净的——它不包含恶意代码。然而，游戏平台的更新机制被破坏，随后的更新包传递了BirdCall有效载荷。ESET指出，截至他们分析时，更新包不再具有恶意性，这表明攻击者可能已经轮换了基础设施，或者破坏已经被修复。

BirdCall的Android变体是一个功能齐全的远程访问木马（RAT）。首次执行时，它会收集大量的设备信息并将其发送到命令和控制（C2）服务器。恶意软件可以：

• 通过设备麦克风录制音频，使攻击者能够窃听受害者周围环境。
• 捕获设备屏幕的屏幕截图。
• 记录电话通话。
• 外泄短信消息、联系人列表和通话记录。
• 窃取媒体文件（照片、视频、文档）。
• 从连接到手机的外部存储设备中提取私有加密密钥。
• 在附加的外部存储中搜索特定类型的文件。

Android后门在数月内迭代开发，ESET发现了七个不同版本。这表明恶意软件能力的积极开发和完善，可能是为了响应操作反馈或检测规避。

BirdCall的Windows版本最早由韩国安全供应商AhnLab和其他人于2021年记录。Android变体代表了APT37移动目标能力的显著扩展。ESET指出，该组织以前曾在2025年通过Google Play商店上可用的应用程序部署Android间谍软件，针对韩国学术专家和专注于朝鲜的新闻媒体。

ESET无法确定Sqgame网站首次被破坏的时间。研究人员在2025年12月联系了Sqgame，但没有收到回应。供应链攻击向量——破坏一个合法的游戏分发平台——是APT37以前使用过的战术，尽管通常针对Windows目标。

缓解措施与建议

由于感染向量依赖于从被破坏的第三方网站侧载的应用程序，因此主要的缓解措施是用户教育和政策执行。防御者应该：

• 建议处于风险中的社区用户（边境地区的朝鲜族人、朝鲜脱北者、专注于朝鲜事务的学者）避免从官方应用商店外部下载Android应用程序，特别是来自不太知名的游戏平台。
• 在所有Android设备上启用Google Play Protect，即使应用程序被侧载，它也能检测到已知的恶意软件变体。
• 监控Android设备到不熟悉的IP地址的异常出站网络连接，特别是那些与朝鲜基础设施相关的。
• 定期审查应用程序权限——BirdCall需要麦克风、存储和短信权限，这些是合法纸牌游戏不需要的。
• 对于拥有管理设备的组织，部署移动设备管理（MDM）策略，阻止从不受信任的来源侧载应用程序。

ESET在公共摘要中没有提供具体的入侵指标，如文件哈希值或C2域。防御者应咨询ESET的完整报告以获取技术细节。