{"id":641283,"date":"2026-05-06T16:45:00","date_gmt":"2026-05-06T19:45:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/06\/jogos-para-android-com-virus-espionavam-usuarios-aponta-pesquisa\/"},"modified":"2026-05-06T16:45:00","modified_gmt":"2026-05-06T19:45:00","slug":"jogos-para-android-com-virus-espionavam-usuarios-aponta-pesquisa","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/05\/06\/jogos-para-android-com-virus-espionavam-usuarios-aponta-pesquisa\/","title":{"rendered":"Jogos para Android com v\u00edrus espionavam usu\u00e1rios, aponta pesquisa"},"content":{"rendered":"<p>O grupo norte-coreano APT37, tamb\u00e9m conhecido como ScarCruft ou Reaper, est\u00e1 por tr\u00e1s de uma opera\u00e7\u00e3o de espionagem digital que infectou jogos para Android na plataforma SQGames. A a\u00e7\u00e3o, concentrada na regi\u00e3o de Yanbian, na China, buscou monitorar refugiados e dissidentes da comunidade coreana local.<\/p>\n<p>Segundo a pesquisa da ESET, o objetivo foi coletar dados de usu\u00e1rios por meio de um backdoor embutido em dois jogos Android dispon\u00edveis no site SQGame. O malware, batizado BirdCall, foi inserido nos t\u00edtulos sem o conhecimento dos desenvolvedores originais, que mantinham as vers\u00f5es leg\u00edtimas no servidor.<\/p>\n<h3>O que aconteceu, quem est\u00e1 envolvido e quando<\/h3>\n<p>O ataque, ainda em curso, deve remontar ao final de 2024. O BirdCall j\u00e1 tinha uma vers\u00e3o para Windows conhecida desde 2021; a vers\u00e3o para Android foi identificada apenas recentemente. A ESET aponta o ScarCruft como respons\u00e1vel, ligado ao governo norte-coreano e ativo desde 2012.<\/p>\n<h3>Como o BirdCall funciona no celular<\/h3>\n<p>Ao abrir o jogo infectado, o BirdCall coleta a lista de arquivos do dispositivo, al\u00e9m de contatos, registro de chamadas e mensagens. O malware envia dados b\u00e1sicos do aparelho e localiza\u00e7\u00e3o aproximada periodicamente para os atacantes. Tamb\u00e9m busca arquivos com formatos comuns (jpg, doc, xls, pdf, p12) para exfiltra\u00e7\u00e3o.<\/p>\n<h3>Comunica\u00e7\u00e3o com os atacantes e uso de nuvem<\/h3>\n<p>Os dados coletados s\u00e3o transmitidos por meio de servi\u00e7os de armazenamento na nuvem, utilizando contas do Zoho WorkDrive para comunica\u00e7\u00e3o com os operadores. Essa t\u00e1tica facilita a passagem de informa\u00e7\u00f5es sem acender alertas de seguran\u00e7a.<\/p>\n<h3>Detalhes sobre a cadeia de ataque no Windows<\/h3>\n<p>No Windows, o instalador do cliente parecia limpo, mas atualiza\u00e7\u00f5es autom\u00e1ticas estavam comprometidas desde novembro de 2024. O arquivo mono.dll, modificado, carregava o BirdCall ao instalar um componente adicional denominado RokRAT, j\u00e1 associado ao ScarCruft.<\/p>\n<h3>Alvo, contexto geogr\u00e1fico e hist\u00f3rico do grupo<\/h3>\n<p>Yanbian abriga a maior comunidade coreana fora da pen\u00ednsula. A regi\u00e3o, na fronteira com a Coreia do Norte, \u00e9 usada por refugiados e dissidentes que tentam deixar o pa\u00eds. O ScarCruft tem hist\u00f3rico de ataques contra esses grupos e organiza\u00e7\u00f5es militares e governamentais em pa\u00edses asi\u00e1ticos.<\/p>\n<h3>Desenvolvimento Android e status atual<\/h3>\n<p>Entre outubro de 2024 e junho de 2025, o BirdCall passou por sete vers\u00f5es para Android, de 1.0 a 2.0. A plataforma SQGame foi notificada pela ESET sobre o comprometimento em dezembro de 2025, mas os arquivos maliciosos ainda estavam dispon\u00edveis no site na ocasi\u00e3o da publica\u00e7\u00e3o.<\/p>\n<h3>Observa\u00e7\u00f5es finais<\/h3>\n<p>A campanha evidencia a utiliza\u00e7\u00e3o de jogos leg\u00edtimos como vetor de espionagem em regi\u00f5es com comunidades sens\u00edveis. A pr\u00e1tica combina infec\u00e7\u00e3o de apps, exfiltra\u00e7\u00e3o de dados e comunica\u00e7\u00e3o encoberta via servi\u00e7os de nuvem, fortalecendo a necessidade de verifica\u00e7\u00e3o de aplicativos antes do download.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Grupo norte-coreano ScarCruft (APT37) inseriu o backdoor BirdCall em jogos da plataforma SQGames, usados para monitorar refugiados e dissidentes na regi\u00e3o de Yanbian, na China.<\/li>\n<li>A opera\u00e7\u00e3o afeta vers\u00f5es de Windows e Android dos jogos dispon\u00edveis no SQGames; vers\u00e3o Android com BirdCall foi descoberta pela primeira vez, enquanto a vers\u00e3o para Windows j\u00e1 era conhecida desde 2021.<\/li>\n<li>O BirdCall coleta dados no dispositivo, como arquivos, contatos, registros de chamadas, mensagens, localiza\u00e7\u00e3o e pode gravar \u00e1udio, al\u00e9m de enviar informa\u00e7\u00f5es periodicamente aos atacantes.<\/li>\n<li>O malware usa servi\u00e7os de nuvem leg\u00edtimos, especialmente Zoho WorkDrive, para a troca de dados com os operadores, dificultando a detec\u00e7\u00e3o.<\/li>\n<li>Entre outubro de 2024 e junho de 2025, a vers\u00e3o Android do BirdCall teve pelo menos sete variantes (da vers\u00e3o 1.0 \u00e0 2.0); a ESET notificou a SQGames em dezembro de 2025, mas os arquivos continuavam dispon\u00edveis no site.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":641326,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Backdoor BirdCall em jogos Android da SQGame coleta arquivos, contatos e \u00e1udio, mirando refugiados e dissidentes na Yanbian, aponta a ESET","footnotes":""},"categories":[296,1],"tags":[84,104,102,269,189,200],"class_list":["post-641283","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-conflitos","tag-internacionais","tag-tecnologia","tag-videogame"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/641283","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=641283"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/641283\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/641326"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=641283"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=641283"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=641283"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}