Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiaibft2gan3xpavguolvaaghfnitv6nfixnzai5ge62z5ghiji3ju",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3ml7n3stpxrc2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreienhplvzg4w6izpobitajbjqxkx3jyxafbb6uy7p34sx4t2p3imse"
    },
    "mimeType": "image/png",
    "size": 682990
  },
  "path": "/seguranca/412888-jogos-para-android-infectados-por-virus-espionavam-usuarios-aponta-pesquisa.htm",
  "publishedAt": "2026-05-06T19:45:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Uma operação de espionagem digital utiliza jogos para monitorar uma comunidade coreana na região de Yanbian, na China. Conforme aponta o relatório da ESET, o grupo responsável seria o ScarCruft, também chamado de APT37 ou Reaper, ligado ao governo norte-coreano e ativo desde pelo menos 2012.\n\nO ataque, provavelmente em andamento desde o final de 2024, comprometeu as versões de Windows e de Android de jogos disponíveis na plataforma SQGames. O site hospeda títulos tradicionais da região, como jogos de cartas e tabuleiro, que podem ser baixados e usados para competir com amigos ou participar de torneios.\n\n## Jogos de celular infectados na origem\n\nDois dos jogos para Android disponíveis no site SQGame foram encontrados com um backdoor embutido. Backdoor é um tipo de programa malicioso que possibilita acesso oculto ao dispositivo da vítima, permitindo que invasores coletem dados sem que o usuário perceba.\n\nInterface do jogo Yanbian Red Ten rodando em Android. A mistura de nomes de usuário em coreano e texto em chinês reflete o público da plataforma sqgame, voltada para a comunidade coreana de Yanbian. Reprodução/ESET.\n\nO malware inserido nos jogos é chamado de BirdCall. A versão para Windows já era conhecida desde 2021, mas a versão para Android foi descoberta somente agora. Internamente, o código do malware usa o nome \"zhuagou\", que em chinês significa \"pegar cachorros\".\n\nOs pesquisadores acreditam que o ScarCruft não teve acesso ao código-fonte dos jogos. O grupo obteve os arquivos originais, adicionou o código malicioso e os recolocou no servidor, substituindo as versões legítimas. Quem baixava o jogo pelo site oficial instalava automaticamente o malware junto.\n\n## O que o vírus faz no celular\n\nAssim que o jogo infectado é aberto, o BirdCall começa a trabalhar em segundo plano. Na primeira execução, ele coleta uma lista completa dos arquivos armazenados no aparelho, além de contatos, registros de chamadas e mensagens SMS.\n\nPágina de downloads da plataforma sqgame.net, onde dois dos aplicativos Android disponíveis foram encontrados com o backdoor BirdCall embutido pelos atacantes. Reprodução/ESET.\n\nDepois disso, o malware passa a agir de forma periódica. Ele envia informações básicas do dispositivo para os servidores dos atacantes, incluindo modelo do aparelho, endereço IP, tipo de rede e status de root — termo que indica se o usuário tem controle total sobre o sistema do celular. Também coleta a localização geográfica aproximada via internet.\n\nO BirdCall ainda busca arquivos com extensões específicas para enviá-los aos atacantes. Os formatos visados incluem fotos (.jpg), documentos do Word e Excel (.doc, .docx, .xls, .xlsx), PDFs, apresentações em PowerPoint e arquivos de certificado digital (.p12). Ou seja, tanto arquivos pessoais quanto profissionais estão no alvo.\n\nAlém disso, o malware pode tirar capturas de tela do celular e gravar o áudio do ambiente pelo microfone. A gravação de áudio, quando ativada, funciona apenas em um período específico do dia, entre 19h e 22h, no horário local da vítima.\n\nComparação entre o código-fonte do APK original (esquerda) e o APK infectado (direita). O pacote \"zhuagou\" — nome interno do BirdCall, que em chinês significa \"pegar cachorros\" — contém os módulos de captura de tela, coleta de dados e comunicação com os servidores dos atacantes. Reprodução/ESET.\n\n## Como a comunicação com os atacantes funciona\n\nPara enviar os dados coletados sem levantar suspeita, o BirdCall usa serviços legítimos de armazenamento na nuvem. Durante a investigação, os pesquisadores identificaram 12 contas no Zoho WorkDrive, serviço de armazenamento de arquivos, usadas como canal de comunicação entre o malware e os atacantes.\n\nEssa técnica é comum em grupos de espionagem sofisticados porque o tráfego para serviços conhecidos como Zoho ou pCloud dificilmente é bloqueado por ferramentas de segurança corporativas ou residenciais.\n\n## A versão para Windows seguiu caminho diferente\n\nNo computador, o ataque funcionou de outra forma. O instalador do cliente Windows disponível no site estava limpo, mas as atualizações automáticas do programa estavam comprometidas desde pelo menos novembro de 2024. Ao atualizar o software, o usuário recebia uma versão modificada de um arquivo de sistema chamado mono.dll.\n\nO BirdCall foi inserido em jogos Android da plataforma sqgame e coletava arquivos, contatos, localização e áudio do ambiente das vítimas sem que elas percebessem.\n\nEsse arquivo carregava um outro malware chamado RokRAT, que por sua vez instalava o BirdCall na máquina. O RokRAT é um backdoor já associado ao ScarCruft em campanhas anteriores. Na época da análise, o arquivo de atualização malicioso já havia sido substituído por uma versão limpa.\n\n## Quem era o alvo e por quê\n\nA região de Yanbian é habitada pela maior comunidade coreana fora da península coreana. Pela localização geográfica, na fronteira com a Coreia do Norte, a área também funciona como rota de passagem para refugiados e dissidentes que tentam deixar o país.\n\nOs pesquisadores concluem que o objetivo da campanha era coletar informações sobre pessoas nessa região que pudessem ser de interesse para o regime norte-coreano, com foco especial em refugiados e dissidentes. O ScarCruft tem histórico de ataques contra esse perfil de alvo, além de organizações militares e governamentais em países asiáticos.\n\nO ScarCruft, ativo desde pelo menos 2012, tem histórico de ataques contra refugiados, dissidentes e organizações militares e governamentais em países asiáticos.\n\n## Sete versões em poucos meses\n\nA versão Android do BirdCall passou por desenvolvimento ativo entre outubro de 2024 e junho de 2025, período em que foram identificadas sete versões diferentes, da 1.0 à 2.0. Isso indica que o grupo continuou aprimorando a ferramenta ao longo do tempo.\n\nA ESET notificou a plataforma sqgame sobre o comprometimento em dezembro de 2025, mas não recebeu resposta. No momento da publicação da pesquisa, os arquivos maliciosos ainda estavam disponíveis para download no site.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Jogos para Android infectados por vírus espionavam usuários, aponta pesquisa"
}