FlutterShell задна вратичка за macOS
Изследователи по киберсигурност разкриха мащабна операция за злонамерена реклама в macOS, известна като Operation FlutterBridge, която е отговорна за разпространението на новооткрита задна врата, наречена FlutterShell. Кампанията представлява най-новата еволюция на клъстер от заплахи, свързан преди това с JSCoreRunner (известен също като FileRipple), злонамерена дейност, документирана за първи път през август 2025 г.
Киберпрестъпната група, стояща зад двете вериги за атаки, е проследена като CL-CRI-1089 и се смята, че е активна поне от 2023 г. Анализаторите по сигурността разглеждат FlutterShell като значителен напредък във възможностите и инфраструктурата на групата.
Съдържание
От рекламен софтуер до пълна функционалност на задна врата
Разработен с помощта на рамката Flutter на Google, FlutterShell се доставя чрез злонамерени настолни приложения, които първоначално изглеждат легитимни. Въпреки че злонамереният софтуер включва рекламна функционалност, неговите възможности далеч надхвърлят нежеланата реклама.
Зловредният софтуер може:
- Изпълнявайте произволни команди на shell на заразени системи.
- Взаимодействайте с файлове и манипулирайте ги във файловата система.
- Извличане на променливи на средата и системна информация.
- Извършете системно снемане на пръстови отпечатъци.
- Кражба на данни от сесиите на браузъра.
Изследователите са наблюдавали злонамерена активност, включваща FlutterShell, едва през март 2026 г., което показва, че кампанията остава активна.
Разрастваща се екосистема от зловреден софтуер, свързана с TamperedChef
FlutterShell не е изолирана заплаха. Операциите, приписвани на CL-CRI-1089, включват също Recipe Lister и Calendaromatic, и двете свързани с по-широката кампания TamperedChef, известна още като EvilAI.
Кампаниите TamperedChef разчитат на троянски приложения за продуктивност, за да разпространяват потенциално нежелани програми (PUP) и рекламен софтуер. Тези злонамерени приложения се популяризират чрез подвеждащи рекламни кампании, предназначени да убедят потребителите, че изтеглят легитимни софтуерни инструменти.
Злонамерена реклама, предоставяна от компании Shell
Ключов елемент от операцията е обширна мрежа за злонамерена реклама, която използва реклами в Google и YouTube. Нападателите използват множество проверени от Google фиктивни компании, за да публикуват и популяризират злонамерени реклами, като по този начин повишават доверието в кампаниите си и им помагат да избегнат проверката на рекламните платформи.
Сред компаниите, свързани с операцията, са:
AdsParkPro LTD, Advantage Web Marketing LLC и SOFT WE ART LIMITED (сега действаща като PACIFIC TRADE SOLUTIONS LTD).
Допълнителни записи от YouControl и регистъра на дружествата на Обединеното кралство показват връзки между тези организации и украински физически лица.
Рекламите са насочени предимно към потребители на macOS, намиращи се в Съединените щати, Канада, Австралия, Франция и Германия. Въпреки че свързаните акаунти в Google Ads вече не са достъпни чрез Центъра за прозрачност на Google Ads, историческите записи продължават да разкриват връзки между участващите организации.
Отвличане на браузър чрез надеждни приложения
След като се изпълни, FlutterShell променя конфигурационните файлове на Google Chrome, за да пренасочва целия трафик на браузъра през контролирани от хакерите посреднически уебсайтове, пълни с реклами. Тази техника за отвличане на браузъри позволява на злонамерените лица да генерират приходи, като същевременно поддържат контрол върху активността на потребителите при сърфиране.
Особено обезпокоителен е фактът, че всяка анализирана проба е подписана с валидни идентификатори на разработчици на Apple и е преминала успешно процеса на нотариално заверяване на Apple. В резултат на това автоматизираните механизми за сигурност на Apple не са идентифицирали приложенията като злонамерени в момента на подаването им.
Архитектурата на WebView позволява динамична еволюция на зловреден софтуер
Една от най-отличителните характеристики на FlutterShell е използването на архитектура, базирана на WebView, комбинирана с комуникационен мост между JavaScript и native. В този модел приложението вгражда компонент на браузъра, който показва уеб съдържание, като същевременно позволява на JavaScript код да комуникира директно с native системните функции.
Вместо да вграждат злонамерена логика директно в двоичния файл на приложението, злонамерените лица хостват значителни части от функционалността на зловредния софтуер на отдалечени уебсайтове под техен контрол. Този подход предоставя няколко предимства:
Поведението на зловредния софтуер може да бъде променяно в реално време, без да е необходимо да се прекомпилира приложението.
Нова функционалност може да бъде въведена без разпространение на актуализирани двоични файлове на зловреден софтуер.
Откриването става по-трудно, защото основната злонамерена логика се намира извън инсталираното приложение.
Тази архитектура дава на атакуващите изключителна гъвкавост и позволява бърза адаптация към защитните мерки.
Множество варианти сигнализират за активно развитие
Изследователите са идентифицирали три известни варианта на FlutterShell: PodcastsLounge, PDF-Brain и PDF-Ninja. Анализът на инфраструктурата на нападателите разкри непълни JavaScript функции и недовършени компоненти на кода, което предполага, че разработката продължава.
Няколко варианта, по-специално PDF-Brain и PDF-Ninja, включват функции за обобщаване на документи, задвижвани от изкуствен интелект. Документите, изпратени за обобщаване, обаче първо се пренасочват през контролирани от хакера сървъри преди обработка, което създава значителни опасения за поверителността и сигурността на засегнатите потребители.
Силни технически връзки с по-ранни кампании
FlutterShell споделя забележителни прилики с по-ранни семейства зловреден софтуер, свързани с CL-CRI-1089, по-специално Calendaromatic и Recipe Lister. Най-очевидното припокриване е споделената архитектура, базирана на WebView, която позволява динамична модификация на злонамерени полезни товари след внедряването им.
Разследващите също така наблюдаваха, че Advantage Web Marketing LLC не само е участвала в разпространението на злонамерени реклами, но и е действала като подписваща организация за мостри на рекламен софтуер, базиран на Windows, свързани със същия клъстер от заплахи. Тези открития допълнително засилват връзките между различните кампании.
Постоянен и ескалиращ пейзаж на заплахите
Преходът от JSCoreRunner към FlutterShell демонстрира значително увеличение на техническата сложност чрез CL-CRI-1089. Комбинацията от усъвършенствано разработване на зловреден софтуер, мащабни операции за злонамерена реклама и използването на проверени фиктивни компании за заобикаляне на контрола върху рекламните платформи подчертава нарастващата ефективност на тактиките на групата.
Координираното използване на множество организации-прикрития, заедно с бързата поява на нови варианти на FlutterShell, предполага, че операция FlutterBridge остава активна и развиваща се заплаха. Изследователите по сигурност предупреждават, че кампанията далеч не е приключила и е вероятно да продължи да адаптира техниките си, за да се насочи към потребители на macOS по целия свят.
