Slevová nabídka pro více licencí
Databáze hrozeb Mac malware FlutterShell Backdoor pro macOS

FlutterShell Backdoor pro macOS

V roce Mezo v roce Mac malware, Zadní vrátka
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili rozsáhlou malwarovou operaci v systému macOS známou jako Operation FlutterBridge, která je zodpovědná za šíření nově identifikovaného backdooru s názvem FlutterShell. Kampaň představuje nejnovější vývoj klastru hrozeb dříve spojovaného s JSCoreRunner (také známým jako FileRipple), což je škodlivá aktivita poprvé zdokumentovaná v srpnu 2025.

Kyberzločinná skupina stojící za oběma útoky je sledována jako CL-CRI-1089 a předpokládá se, že je aktivní nejméně od roku 2023. Bezpečnostní analytici považují FlutterShell za významný pokrok ve schopnostech a infrastruktuře skupiny.

Od adwaru k plnohodnotné funkcionalitě backdoorů

FlutterShell, vyvinutý s využitím frameworku Flutter od společnosti Google, je distribuován prostřednictvím škodlivých desktopových aplikací, které se zpočátku jeví jako legitimní. Malware sice obsahuje funkce adwaru, ale jeho možnosti sahají daleko za rámec nežádoucí reklamy.

Malware může:

  • Spouštět libovolné příkazy shellu na infikovaných systémech.
  • Interakce se soubory a manipulace s nimi v rámci souborového systému.
  • Exfiltrujte proměnné prostředí a systémové informace.
  • Proveďte otisky prstů systému.
  • Ukradnout data relace prohlížeče.

Výzkumníci pozorovali škodlivou aktivitu týkající se FlutterShellu ještě v březnu 2026, což naznačuje, že kampaň je stále aktivní.

Rostoucí ekosystém malwaru spojený s TamperedChefem

FlutterShell není izolovaná hrozba. Mezi operace připisované CL-CRI-1089 patří také Recipe Lister a Calendaromatic, obě spojené s širší kampaní TamperedChef, známou také jako EvilAI.

Kampaně TamperedChef se spoléhají na trojské koně infikované aplikace pro zvýšení produktivity k distribuci potenciálně nežádoucích programů (PUP) a adwaru. Tyto škodlivé aplikace jsou propagovány prostřednictvím klamavých reklamních kampaní, jejichž cílem je přesvědčit uživatele, že stahují legitimní softwarové nástroje.

Škodlivá reklama poháněná skrytými společnostmi

Klíčovým prvkem operace je rozsáhlá síť malwaru, která využívá reklamy na Googlu a YouTube. Útočníci k publikování a propagaci škodlivých reklam využívají několik fiktivních společností ověřených Googlem, čímž zvyšují důvěryhodnost svých kampaní a pomáhají jim vyhýbat se kontrole reklamních platforem.

Mezi společnosti spojené s operací patří:

AdsParkPro LTD, Advantage Web Marketing LLC a SOFT WE ART LIMITED (nyní působící jako PACIFIC TRADE SOLUTIONS LTD).
Další záznamy z YouControl a britského obchodního rejstříku Companies House naznačují propojení mezi těmito subjekty a ukrajinskými jednotlivci.

Reklamy cílí primárně na uživatele macOS nacházející se ve Spojených státech, Kanadě, Austrálii, Francii a Německu. Přestože přidružené účty Google Ads již nejsou přístupné prostřednictvím Centra transparentnosti Google Ads, historické záznamy nadále odhalují propojení mezi zúčastněnými subjekty.

Únos prohlížeče prostřednictvím důvěryhodných aplikací

Po spuštění FlutterShell upraví konfigurační soubory prohlížeče Google Chrome tak, aby veškerý provoz prohlížeče přesměrovával přes zprostředkovatelské webové stránky ovládané útočníkem, které jsou plné reklam. Tato technika únosu prohlížeče umožňuje útočníkům generovat příjmy a zároveň si udržovat kontrolu nad aktivitou uživatelů při prohlížení.

Obzvláště znepokojivá je skutečnost, že každý analyzovaný vzorek byl podepsán platnými Apple Developer ID a úspěšně prošel procesem notářského ověření společnosti Apple. V důsledku toho automatizované bezpečnostní mechanismy společnosti Apple neidentifikovaly aplikace v době jejich odeslání jako škodlivé.

Architektura WebView umožňuje dynamický vývoj malwaru

Jednou z nejvýraznějších charakteristik FlutterShellu je použití architektury založené na WebView v kombinaci s komunikačním mostem mezi JavaScriptem a nativním kódem. V tomto modelu aplikace obsahuje komponentu prohlížeče, která zobrazuje webový obsah a zároveň umožňuje JavaScriptovému kódu přímo komunikovat s nativními funkcemi systému.

Spíše než vkládat škodlivou logiku přímo do binárního souboru aplikace, útočníci hostují významné části funkcí malwaru na vzdálených webových stránkách, které mají pod kontrolou. Tento přístup nabízí několik výhod:

Chování malwaru lze upravovat v reálném čase bez nutnosti opětovné kompilace aplikace.
Nové funkce lze zavést bez distribuce aktualizovaných binárních souborů malwaru.
Detekce se stává obtížnější, protože základní škodlivá logika se nachází mimo nainstalovanou aplikaci.

Tato architektura poskytuje útočníkům mimořádnou flexibilitu a umožňuje rychlou adaptaci na obranná opatření.

Více variant signalizuje aktivní rozvoj

Výzkumníci identifikovali tři známé varianty FlutterShellu: PodcastsLounge, PDF-Brain a PDF-Ninja. Analýza infrastruktury útočníků odhalila neúplné funkce JavaScriptu a nedokončené komponenty kódu, což naznačuje, že vývoj stále probíhá.

Několik variant, zejména PDF-Brain a PDF-Ninja, obsahuje funkce shrnování dokumentů poháněné umělou inteligencí. Dokumenty odeslané k shrnování jsou však před zpracováním nejprve směrovány přes servery ovládané útočníkem, což vytváří značné obavy o soukromí a bezpečnost postižených uživatelů.

Silné technické vazby na dřívější kampaně

FlutterShell sdílí významné podobnosti s dřívějšími rodinami malwaru spojenými s CL-CRI-1089, zejména s Calendaromatic a Recipe Lister. Nejzřetelnějším překrýváním je sdílená architektura založená na WebView, která umožňuje dynamickou modifikaci škodlivých dat po nasazení.

Vyšetřovatelé také zjistili, že společnost Advantage Web Marketing LLC se nejen podílela na distribuci škodlivé reklamy, ale také fungovala jako podpisová entita pro vzorky adwaru pro Windows spojené se stejným klastrem hrozeb. Tato zjištění dále posilují propojení mezi různými kampaněmi.

Přetrvávající a stupňující se hrozby

Přechod z JSCoreRunner na FlutterShell ukazuje na podstatný nárůst technické sofistikovanosti dle CL-CRI-1089. Kombinace pokročilého vývoje malwaru, rozsáhlých malwarových operací a využívání ověřených fiktivních společností k obcházení kontrol reklamních platforem zdůrazňuje rostoucí efektivitu taktik skupiny.

Koordinované využívání více krycích organizací spolu s rychlým vznikem nových variant FlutterShellu naznačuje, že operace FlutterBridge zůstává aktivní a vyvíjející se hrozbou. Bezpečnostní experti varují, že kampaň zdaleka nekončí a pravděpodobně bude i nadále upravovat své techniky tak, aby cílila na uživatele macOS po celém světě.

Trendy

Podvod s e-mailem s oznámením o upgradu účtu cPanel

Phishing, Spam
S neočekávanými e-maily, které vyvolávají pocit naléhavosti, by se mělo vždy zacházet opatrně. Kyberzločinci se často vydávají za důvěryhodné značky a služby, aby příjemce oklamali a přiměli k odhalení citlivých informací nebo stažení škodlivého obsahu. Podvodný e-mail s oznámením o upgradu účtu cPanel je jednou z takových phishingových kampaní. Ačkoli se zdá, že zprávy pocházejí z cPanelu,...

Nejvíce shlédnuto

Načítání...