Бэкдор FlutterShell для macOS
Исследователи в области кибербезопасности обнаружили масштабную операцию по распространению вредоносной рекламы в macOS, известную как операция FlutterBridge, которая занимается распространением недавно обнаруженного бэкдора под названием FlutterShell. Эта кампания представляет собой последнюю ступень развития кластера угроз, ранее связанных с JSCoreRunner (также известным как FileRipple), вредоносной деятельностью, впервые задокументированной в августе 2025 года.
Группа киберпреступников, стоящая за обеими цепочками атак, отслеживается под номером CL-CRI-1089 и, как полагают, действует как минимум с 2023 года. Аналитики в области безопасности рассматривают FlutterShell как значительный шаг вперед в возможностях и инфраструктуре этой группы.
Оглавление
От рекламного ПО до полноценной функциональности бэкдора
Разработанная с использованием фреймворка Flutter от Google, FlutterShell распространяется через вредоносные настольные приложения, которые на первый взгляд выглядят легитимно. Хотя вредоносная программа включает в себя рекламные функции, её возможности выходят далеко за рамки нежелательной рекламы.
Вредоносная программа может:
- Выполнение произвольных команд оболочки на зараженных системах.
- Взаимодействуйте с файлами в файловой системе и управляйте ими.
- Извлечь переменные среды и системную информацию.
- Провести идентификацию системы по её «цифровым отпечаткам».
- Украсть данные сессии браузера.
Исследователи зафиксировали вредоносную активность, связанную с FlutterShell, еще в марте 2026 года, что указывает на то, что кампания по-прежнему активна.
Растущая экосистема вредоносного ПО, связанная с TamperedChef.
FlutterShell — не единичный случай. К операциям, связанным с CL-CRI-1089, также относятся Recipe Lister и Calendaromatic, обе связанные с более масштабной кампанией TamperedChef, также известной как EvilAI.
В кампаниях TamperedChef используются троянизированные приложения для повышения производительности, распространяющие потенциально нежелательные программы (PUP) и рекламное ПО. Эти вредоносные приложения продвигаются посредством обманчивых рекламных кампаний, призванных убедить пользователей в том, что они загружают легитимные программные инструменты.
Вредоносная реклама, распространяемая подставными компаниями.
Ключевым элементом операции является разветвленная сеть вредоносной рекламы, использующая рекламу Google и YouTube. Злоумышленники используют множество подставных компаний, проверенных Google, для публикации и продвижения вредоносной рекламы, повышая доверие к своим кампаниям и помогая им избегать проверок рекламных платформ.
В число компаний, связанных с этой операцией, входят:
AdsParkPro LTD, Advantage Web Marketing LLC и SOFT WE ART LIMITED (в настоящее время работающая как PACIFIC TRADE SOLUTIONS LTD).
Дополнительные данные из YouControl и реестра компаний Великобритании указывают на связи между этими организациями и физическими лицами из Украины.
Реклама в основном ориентирована на пользователей macOS, проживающих в США, Канаде, Австралии, Франции и Германии. Хотя связанные с рекламой аккаунты Google Ads больше недоступны через Центр прозрачности Google Ads, исторические данные продолжают выявлять связи между участвующими организациями.
Перехват браузера через доверенные приложения
После запуска FlutterShell изменяет конфигурационные файлы Google Chrome, перенаправляя весь трафик браузера через контролируемые злоумышленниками промежуточные веб-сайты, заполненные рекламой. Этот метод перехвата браузера позволяет злоумышленникам получать доход, сохраняя при этом контроль над активностью пользователей в интернете.
Особую тревогу вызывает тот факт, что каждый проанализированный образец был подписан с использованием действительных идентификаторов разработчиков Apple и успешно прошел процедуру нотариального заверения Apple. В результате автоматизированные механизмы безопасности Apple не идентифицировали приложения как вредоносные на момент их отправки.
Архитектура WebView обеспечивает динамическую эволюцию вредоносного ПО.
Одной из наиболее отличительных особенностей FlutterShell является использование архитектуры на основе WebView в сочетании с мостом связи между JavaScript и нативными функциями. В этой модели приложение встраивает компонент браузера, который отображает веб-контент, позволяя при этом коду JavaScript напрямую взаимодействовать с нативными системными функциями.
Вместо того чтобы встраивать вредоносную логику непосредственно в исполняемый файл приложения, злоумышленники размещают значительную часть функциональности вредоносного ПО на удаленных веб-сайтах, находящихся под их контролем. Такой подход предоставляет ряд преимуществ:
Поведение вредоносного ПО можно изменять в режиме реального времени без перекомпиляции приложения.
Новые функции можно внедрять без распространения обновленных бинарных файлов вредоносного ПО.
Обнаружение становится сложнее, поскольку основная вредоносная логика находится вне установленного приложения.
Такая архитектура предоставляет злоумышленникам исключительную гибкость, позволяя быстро адаптироваться к мерам защиты.
Множественные варианты сигнализируют об активном развитии
Исследователи выявили три известных варианта FlutterShell: PodcastsLounge, PDF-Brain и PDF-Ninja. Анализ инфраструктуры злоумышленников показал наличие неполных функций JavaScript и незавершенных компонентов кода, что свидетельствует о продолжающейся разработке.
Некоторые варианты, в частности PDF-Brain и PDF-Ninja, используют функции аннотирования документов на основе искусственного интеллекта. Однако документы, отправленные на аннотирование, сначала проходят через контролируемые злоумышленниками серверы, прежде чем начать обработку, что создает серьезные проблемы с конфиденциальностью и безопасностью для затронутых пользователей.
Тесная техническая связь с предыдущими кампаниями.
FlutterShell имеет заметные сходства с более ранними семействами вредоносных программ, связанными с CL-CRI-1089, в частности с Calendaromatic и Recipe Lister. Наиболее очевидное совпадение — это общая архитектура на основе WebView, которая позволяет динамически изменять вредоносные полезные нагрузки после развертывания.
Следователи также установили, что компания Advantage Web Marketing LLC не только участвовала в распространении вредоносной рекламы, но и выступала в качестве организации, подписывающей образцы рекламного ПО для Windows, связанные с тем же кластером угроз. Эти данные еще больше подтверждают связь между различными кампаниями.
Постоянная и нарастающая угроза
Переход от JSCoreRunner к FlutterShell демонстрирует существенное повышение технической сложности, достигнутое группой CL-CRI-1089. Сочетание разработки продвинутого вредоносного ПО, масштабных операций по распространению вредоносной рекламы и использования проверенных подставных компаний для обхода средств контроля рекламных платформ подчеркивает растущую эффективность тактики группы.
Скоординированное использование множества подставных организаций, а также быстрое появление новых вариантов FlutterShell свидетельствуют о том, что операция FlutterBridge остается активной и развивающейся угрозой. Исследователи в области безопасности предупреждают, что кампания еще далека от завершения и, вероятно, продолжит адаптировать свои методы для атаки на пользователей macOS по всему миру.
