FlutterShell macOS Bagdør
Cybersikkerhedsforskere har afdækket en storstilet macOS-malvertising-operation kendt som Operation FlutterBridge, som er ansvarlig for at distribuere en nyligt identificeret bagdør ved navn FlutterShell. Kampagnen repræsenterer den seneste udvikling af en trusselsklynge, der tidligere var forbundet med JSCoreRunner (også kendt som FileRipple), en ondsindet aktivitet, der først blev dokumenteret i august 2025.
Den cyberkriminelle gruppe bag begge angrebskæder spores som CL-CRI-1089 og menes at have været aktiv siden mindst 2023. Sikkerhedsanalytikere ser FlutterShell som et betydeligt fremskridt i gruppens kapaciteter og infrastruktur.
Indholdsfortegnelse
Fra adware til fuld bagdørsfunktionalitet
FlutterShell er udviklet ved hjælp af Googles Flutter-framework og leveres via ondsindede desktopapplikationer, der i starten ser legitime ud. Selvom malwaren inkluderer adware-funktionalitet, rækker dens muligheder langt ud over uønsket reklame.
Malwaren kan:
- Udfør vilkårlige shell-kommandoer på inficerede systemer.
- Interagere med og manipulere filer i filsystemet.
- Eksfiltrér miljøvariabler og systemoplysninger.
- Udfør systemfingeraftryk.
- Stjæl browsersessionsdata.
Forskere observerede ondsindet aktivitet, der involverede FlutterShell, så sent som i marts 2026, hvilket indikerer, at kampagnen stadig er aktiv.
Et voksende malware-økosystem forbundet med TamperedChef
FlutterShell er ikke en isoleret trussel. Operationer tilskrevet CL-CRI-1089 omfatter også Recipe Lister og Calendoromatic, begge forbundet med den bredere TamperedChef-kampagne, også kendt som EvilAI.
TamperedChef-kampagner bruger trojanere til at distribuere potentielt uønskede programmer (PUP'er) og adware. Disse ondsindede programmer promoveres gennem vildledende reklamekampagner, der er designet til at overbevise brugerne om, at de downloader legitime softwareværktøjer.
Ondsindet reklame drevet af Shell-selskaber
Et centralt element i operationen er et omfattende malvertising-netværk, der udnytter Google- og YouTube-annoncer. Angriberne bruger flere Google-verificerede skalselskaber til at offentliggøre og promovere ondsindede annoncer, hvilket øger troværdigheden af deres kampagner og hjælper dem med at undgå kontrol fra reklameplatforme.
Blandt de virksomheder, der er tilknyttet operationen, er:
AdsParkPro LTD, Advantage Web Marketing LLC og SOFT WE ART LIMITED (nu opererer som PACIFIC TRADE SOLUTIONS LTD).
Yderligere optegnelser fra YouControl og Storbritanniens Companies House-register indikerer forbindelser mellem disse enheder og ukrainske individer.
Annoncerne er primært rettet mod macOS-brugere i USA, Canada, Australien, Frankrig og Tyskland. Selvom de tilknyttede Google Ads-konti ikke længere er tilgængelige via Google Ads Transparency Center, afslører historiske optegnelser fortsat forbindelser mellem de involverede enheder.
Browserkapring via betroede applikationer
Når den er udført, ændrer FlutterShell Google Chrome-konfigurationsfiler for at omdirigere al browsertrafik via angriberkontrollerede mellemliggende websteder fyldt med reklamer. Denne browserkapringsteknik gør det muligt for trusselsaktører at generere indtægter, samtidig med at de bevarer kontrollen over brugernes browsingaktivitet.
Særligt bekymrende er det faktum, at alle analyserede prøver blev underskrevet med gyldige Apple Developer ID'er og bestod Apples notariseringsproces. Som følge heraf identificerede Apples automatiserede sikkerhedsmekanismer ikke applikationerne som skadelige på det tidspunkt, de blev indsendt.
WebView-arkitektur muliggør dynamisk malware-udvikling
Et af FlutterShells mest karakteristiske kendetegn er brugen af en WebView-baseret arkitektur kombineret med en JavaScript-til-native kommunikationsbro. I denne model integrerer applikationen en browserkomponent, der viser webindhold, samtidig med at JavaScript-kode kan kommunikere direkte med native systemfunktioner.
I stedet for at integrere ondsindet logik direkte i applikationens binære fil, hoster trusselsaktørerne betydelige dele af malwarens funktionalitet på eksterne websteder under deres kontrol. Denne tilgang giver flere fordele:
Malware-adfærd kan ændres i realtid uden at skulle kompilere applikationen igen.
Ny funktionalitet kan introduceres uden at distribuere opdaterede malware-binære filer.
Detektion bliver vanskeligere, fordi den primære ondsindede logik findes uden for den installerede applikation.
Denne arkitektur giver angribere enestående fleksibilitet og muliggør hurtig tilpasning til defensive foranstaltninger.
Flere varianter signalerer aktiv udvikling
Forskere har identificeret tre kendte FlutterShell-varianter: PodcastsLounge, PDF-Brain og PDF-Ninja. Analyse af angribernes infrastruktur afslørede ufuldstændige JavaScript-funktioner og ufærdige kodekomponenter, hvilket tyder på, at udviklingen er i gang.
Flere varianter, især PDF-Brain og PDF-Ninja, inkorporerer dokumentopsummeringsfunktioner drevet af kunstig intelligens. Dokumenter, der indsendes til opsummering, bliver dog først dirigeret gennem angriberkontrollerede servere før behandling, hvilket skaber betydelige bekymringer om privatlivets fred og sikkerhed for de berørte brugere.
Stærke tekniske forbindelser til tidligere kampagner
FlutterShell deler bemærkelsesværdige ligheder med tidligere malware-familier, der er knyttet til CL-CRI-1089, især Calendaromatic og Recipe Lister. Den mest åbenlyse overlapning er den delte WebView-baserede arkitektur, som muliggør dynamisk ændring af skadelige data efter implementering.
Efterforskerne observerede også, at Advantage Web Marketing LLC ikke blot deltog i distributionen af ondsindede annoncer, men også fungerede som underskriver for Windows-baserede adware-eksempler forbundet med den samme trusselsgruppe. Disse resultater styrker yderligere forbindelserne mellem de forskellige kampagner.
Et vedvarende og eskalerende trusselslandskab
Overgangen fra JSCoreRunner til FlutterShell demonstrerer en betydelig stigning i teknisk sofistikering med CL-CRI-1089. Kombinationen af avanceret malwareudvikling, storstilet malvertising-operationer og brugen af verificerede shell-selskaber til at omgå kontroller af reklameplatforme fremhæver den voksende effektivitet af gruppens taktikker.
Den koordinerede brug af flere frontorganisationer, kombineret med den hurtige fremkomst af nye FlutterShell-varianter, tyder på, at Operation FlutterBridge fortsat er en aktiv og udviklende trussel. Sikkerhedsforskere advarer om, at kampagnen langt fra er slut, og at den sandsynligvis vil fortsætte med at tilpasse sine teknikker til at målrette macOS-brugere verden over.
