FlutterShell macOS 백도어

사이버 보안 연구원들이 대규모 macOS 악성 광고 캠페인인 'Operation FlutterBridge'를 발견했습니다. 이 캠페인은 FlutterShell이라는 새로운 백도어를 유포하는 것으로 알려졌습니다. 이번 캠페인은 2025년 8월에 처음 보고된 JSCoreRunner(FileRipple이라고도 함)와 관련된 위협 클러스터의 최신 진화형입니다.

이번 두 공격의 배후에 있는 사이버 범죄 조직은 CL-CRI-1089로 추적되며, 적어도 2023년부터 활동해 온 것으로 추정됩니다. 보안 분석가들은 FlutterShell이 해당 조직의 역량과 인프라에 있어 상당한 진전을 가져왔다고 보고 있습니다.

애드웨어부터 완벽한 백도어 기능까지

구글의 플러터 프레임워크를 사용하여 개발된 플러터셸은 처음에는 정상적인 것처럼 보이는 악성 데스크톱 애플리케이션을 통해 유포됩니다. 이 멀웨어는 애드웨어 기능을 포함하고 있지만, 그 기능은 원치 않는 광고를 훨씬 뛰어넘습니다.

해당 악성 소프트웨어는 다음과 같은 기능을 수행할 수 있습니다.

• 감염된 시스템에서 임의의 셸 명령을 실행합니다.
• 파일 시스템 내의 파일들과 상호 작용하고 조작합니다.
• 환경 변수와 시스템 정보를 유출합니다.
• 시스템 지문 인식을 수행합니다.
• 브라우저 세션 데이터를 훔칩니다.

연구원들은 2026년 3월에도 FlutterShell과 관련된 악성 활동이 관찰되었다고 밝혔으며, 이는 해당 캠페인이 여전히 활발하게 진행 중임을 시사합니다.

TamperedChef와 연관된 악성코드 생태계가 확산되고 있습니다.

FlutterShell은 단독 위협이 아닙니다. CL-CRI-1089에 기인한 공격에는 Recipe Lister와 Calendaromatic도 포함되며, 이 두 공격은 EvilAI로도 알려진 TamperedChef 캠페인과 연관되어 있습니다.

TamperedChef 캠페인은 트로이목마화된 생산성 애플리케이션을 이용하여 잠재적으로 원치 않는 프로그램(PUP)과 애드웨어를 배포합니다. 이러한 악성 애플리케이션은 사용자가 합법적인 소프트웨어 도구를 다운로드하는 것으로 착각하게 만드는 기만적인 광고 캠페인을 통해 홍보됩니다.

유령회사들이 운영하는 악성 광고

이 공격의 핵심 요소는 구글과 유튜브 광고를 악용하는 광범위한 악성 광고 네트워크입니다. 공격자들은 구글에서 인증받은 여러 개의 유령 회사를 이용하여 악성 광고를 게시하고 홍보함으로써 캠페인의 신뢰도를 높이고 광고 플랫폼의 감시를 회피합니다.

이번 작전에 연루된 회사들은 다음과 같습니다.

AdsParkPro LTD, Advantage Web Marketing LLC 및 SOFT WE ART LIMITED(현재 PACIFIC TRADE SOLUTIONS LTD로 운영).
YouControl과 영국 기업등록소(Companies House)의 추가 기록에 따르면 이들 단체와 우크라이나 개인 간의 연관성이 있는 것으로 나타났습니다.

해당 광고는 주로 미국, 캐나다, 호주, 프랑스, 독일의 macOS 사용자를 대상으로 합니다. 관련 Google Ads 계정은 더 이상 Google Ads 투명성 센터에서 확인할 수 없지만, 과거 기록을 통해 관련 주체들 간의 연관성을 계속해서 확인할 수 있습니다.

신뢰할 수 있는 애플리케이션을 통한 브라우저 하이재킹

FlutterShell은 실행되면 Google Chrome 구성 파일을 수정하여 모든 브라우저 트래픽을 공격자가 제어하는 광고로 가득 찬 중간 웹사이트를 통해 리디렉션합니다. 이러한 브라우저 하이재킹 기술을 통해 공격자는 사용자 브라우징 활동을 제어하면서 수익을 창출할 수 있습니다.

특히 우려스러운 점은 분석된 모든 샘플이 유효한 Apple 개발자 ID로 서명되었고 Apple의 공증 절차를 성공적으로 통과했다는 사실입니다. 결과적으로 Apple의 자동 보안 메커니즘은 제출 당시 해당 애플리케이션을 악성으로 식별하지 못했습니다.

WebView 아키텍처는 악성코드의 동적 진화를 가능하게 합니다.

FlutterShell의 가장 두드러진 특징 중 하나는 WebView 기반 아키텍처와 JavaScript-네이티브 통신 브리지를 결합하여 사용한다는 점입니다. 이 모델에서 애플리케이션은 웹 콘텐츠를 표시하는 브라우저 구성 요소를 포함하는 동시에 JavaScript 코드가 네이티브 시스템 기능과 직접 통신할 수 있도록 합니다.

공격자들은 악성 로직을 애플리케이션 바이너리에 직접 삽입하는 대신, 악성코드 기능의 상당 부분을 자신들이 제어하는 원격 웹사이트에 호스팅합니다. 이러한 접근 방식은 다음과 같은 몇 가지 이점을 제공합니다.

악성 프로그램의 동작은 애플리케이션을 다시 컴파일하지 않고도 실시간으로 수정할 수 있습니다.
업데이트된 악성코드 바이너리를 배포하지 않고도 새로운 기능을 도입할 수 있습니다.
악성 코드의 핵심 로직이 설치된 애플리케이션 외부에 존재하기 때문에 탐지가 더욱 어려워집니다.

이러한 아키텍처는 공격자에게 탁월한 유연성을 제공하며 방어 조치에 신속하게 적응할 수 있도록 해줍니다.

다양한 변이체는 활발한 개발을 시사합니다

연구원들은 PodcastsLounge, PDF-Brain, PDF-Ninja 등 세 가지 FlutterShell 변종을 확인했습니다. 공격자의 인프라를 분석한 결과, 불완전한 JavaScript 함수와 미완성 코드 구성 요소가 발견되어 개발이 진행 중임을 시사합니다.

PDF-Brain과 PDF-Ninja를 비롯한 여러 변종들은 인공지능 기반 문서 요약 기능을 포함하고 있습니다. 그러나 요약을 위해 제출된 문서는 처리되기 전에 공격자가 제어하는 서버를 거치게 되므로, 영향을 받는 사용자들의 개인정보 및 보안에 심각한 문제를 야기합니다.

이전 캠페인과의 강력한 기술적 연계

FlutterShell은 CL-CRI-1089와 연관된 이전 악성코드 계열, 특히 Calendaromatic 및 Recipe Lister와 상당한 유사점을 공유합니다. 가장 눈에 띄는 공통점은 배포 후 악성 페이로드를 동적으로 수정할 수 있는 WebView 기반 아키텍처를 사용한다는 점입니다.

조사관들은 어드밴티지 웹 마케팅 LLC가 악성 광고 배포에 참여했을 뿐만 아니라 동일한 위협 클러스터와 관련된 윈도우 기반 애드웨어 샘플의 서명 주체 역할도 했다는 사실을 확인했습니다. 이러한 발견은 다양한 캠페인 간의 연관성을 더욱 강화시켜 줍니다.

지속적이고 악화되는 위협 환경

JSCoreRunner에서 FlutterShell로의 전환은 CL-CRI-1089의 기술적 정교함이 상당히 증가했음을 보여줍니다. 고도화된 악성코드 개발, 대규모 악성 광고 운영, 그리고 검증된 유령 회사를 이용하여 광고 플랫폼의 제어를 우회하는 방식은 이 그룹의 전술이 점점 더 효과적이 되어가고 있음을 시사합니다.

다수의 위장 조직을 조직적으로 활용하고 새로운 FlutterShell 변종이 빠르게 출현하는 점은 FlutterBridge 작전이 여전히 활발하게 진화하는 위협임을 시사합니다. 보안 연구원들은 이 캠페인이 아직 끝나지 않았으며 전 세계 macOS 사용자를 대상으로 공격 기법을 계속해서 변형할 가능성이 높다고 경고합니다.