Grupo hacker ScarCruft invade plataforma de jogos e infecta Android e Windows

· Fonte: Canaltech

Os hackers norte-coreanos do grupo ScarCruft conseguiram invadir e comprometer uma plataforma de jogos através de um ataque de cadeia de suprimentos, usando a backdoor BirdCall para transformar os games em trojans.

O alvo principal foram coreanos residentes na China, mas qualquer jogador que tenha os games baixados pode ter sido infectado. Anteriormente, o malware em questão só afetava usuários Windows, mas agora também afeta dispositivos Android, segundo pesquisa da empresa de cibersegurança ESET.

ScarCruft e os jogos

Segundo os pesquisadores, a plataforma gamer sqgame.net foi especificamente afetada pelos hackers: ela é usada, principalmente, por coreanos vivendo na região Yanbian da China, na fronteira com a Coreia do Norte e Rússia. É, também, um acesso primário e arriscado para desertores da Coreia do Norte, que precisam atravessar o rio Tumen para chegar à China.

-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-

A plataforma de jogos, voltada aos coreanos em Yanbian, foi invadida e passou a instalar trojans nos Androids: os aplicativos do print estão infectados (Imagem: WeLiveSecurity/Divulgação)
A plataforma de jogos, voltada aos coreanos em Yanbian, foi invadida e passou a instalar trojans nos Androids: os aplicativos do print estão infectados (Imagem: WeLiveSecurity/Divulgação)

Segundo o pesquisador Filip Jurčacko, da ESET, a campanha foi descoberta em outubro de 2025, mas os jogos com cavalos de troia para Android ainda estão disponíveis para baixar no site infectado. O histórico do grupo ScarCruft tem sido de atacar desertores norte-coreanos, ativistas de direitos humanos e professores universitários.

Acredita-se que os ataques tenham começado no final de 2024: a versão de Windows evoluiu do RokRAT, trojan ativo desde 2021, que também foi adaptado para atingir macOS (CloudMensis) e Android (RambleOn). Como outros backdoors, o malware consegue tirar capturas de tela, teclas digitadas, roubar a área de transferência e arquivos diversos e executar comandos em shell.

Os malwares de cada plataforma, no entanto, são diferentes: o BirdCall de Android, por exemplo, só infecta os APKs baixados da plataforma, deixando os clientes Windows e iOS intactos no site. Atualmente, o pacote desktop não está infectado, mas os APKs sqgame.com[.]cn/ybht.apk e sqgame.com[.]cn/sqybhs.apk estão.

Leia a matéria no Canaltech.