Publicidade
Home
Notícias
Segurança

Grupo hacker ScarCruft invade plataforma de jogos e infecta Android e Windows

Por  • Editado por Jones Oliveira | 

Compartilhe:
WeLiveSecurity/Divulgação
WeLiveSecurity/Divulgação

Os hackers norte-coreanos do grupo ScarCruft conseguiram invadir e comprometer uma plataforma de jogos através de um ataque de cadeia de suprimentos, usando a backdoor BirdCall para transformar os games em trojans.

O alvo principal foram coreanos residentes na China, mas qualquer jogador que tenha os games baixados pode ter sido infectado. Anteriormente, o malware em questão só afetava usuários Windows, mas agora também afeta dispositivos Android, segundo pesquisa da empresa de cibersegurança ESET.

ScarCruft e os jogos

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
WhatsApp
Continua após a publicidade

Segundo os pesquisadores, a plataforma gamer sqgame.net foi especificamente afetada pelos hackers: ela é usada, principalmente, por coreanos vivendo na região Yanbian da China, na fronteira com a Coreia do Norte e Rússia. É, também, um acesso primário e arriscado para desertores da Coreia do Norte, que precisam atravessar o rio Tumen para chegar à China.

Segundo o pesquisador Filip Jurčacko, da ESET, a campanha foi descoberta em outubro de 2025, mas os jogos com cavalos de troia para Android ainda estão disponíveis para baixar no site infectado. O histórico do grupo ScarCruft tem sido de atacar desertores norte-coreanos, ativistas de direitos humanos e professores universitários.

Acredita-se que os ataques tenham começado no final de 2024: a versão de Windows evoluiu do RokRAT, trojan ativo desde 2021, que também foi adaptado para atingir macOS (CloudMensis) e Android (RambleOn). Como outros backdoors, o malware consegue tirar capturas de tela, teclas digitadas, roubar a área de transferência e arquivos diversos e executar comandos em shell.

Os malwares de cada plataforma, no entanto, são diferentes: o BirdCall de Android, por exemplo, só infecta os APKs baixados da plataforma, deixando os clientes Windows e iOS intactos no site. Atualmente, o pacote desktop não está infectado, mas os APKs sqgame.com[.]cn/ybht.apk e sqgame.com[.]cn/sqybhs.apk estão.

Fonte: WeLiveSecurity