FlutterShell macOS Backdoor

Natuklasan ng mga mananaliksik sa cybersecurity ang isang malawakang operasyon ng macOS malvertising na kilala bilang Operation FlutterBridge, na responsable sa pamamahagi ng isang bagong natukoy na backdoor na nagngangalang FlutterShell. Ang kampanya ay kumakatawan sa pinakabagong ebolusyon ng isang threat cluster na dating nauugnay sa JSCoreRunner (kilala rin bilang FileRipple), isang malisyosong aktibidad na unang naitala noong Agosto 2025.

Ang cybercriminal group sa likod ng parehong attack chain ay sinusubaybayan bilang CL-CRI-1089 at pinaniniwalaang aktibo na simula pa noong 2023. Itinuturing ng mga security analyst ang FlutterShell bilang isang makabuluhang pagsulong sa mga kakayahan at imprastraktura ng grupo.

Mula sa Adware hanggang sa Ganap na Paggana ng Backdoor

Binuo gamit ang Flutter framework ng Google, ang FlutterShell ay inihahatid sa pamamagitan ng mga malisyosong desktop application na sa una ay tila lehitimo. Bagama't may kasamang adware functionality ang malware, ang mga kakayahan nito ay higit pa sa mga hindi gustong advertising.

Ang malware ay maaaring:

• Magpatupad ng mga arbitraryong utos ng shell sa mga nahawaang sistema.
• Makipag-ugnayan at manipulahin ang mga file sa loob ng file system.
• Mga variable ng kapaligiran at impormasyon ng sistema na naglalabas ng salin (exfiltrate).
• Magsagawa ng fingerprinting ng sistema.
• Magnakaw ng datos ng sesyon ng browser.

Naobserbahan ng mga mananaliksik ang malisyosong aktibidad na kinasasangkutan ng FlutterShell noong Marso 2026 lamang, na nagpapahiwatig na nananatiling aktibo ang kampanya.

Isang Lumalagong Ekosistema ng Malware na Nakaugnay sa TamperedChef

Ang FlutterShell ay hindi isang nakahiwalay na banta. Kasama rin sa mga operasyong maiuugnay sa CL-CRI-1089 ang Recipe Lister at Calenderomatic, na parehong nauugnay sa mas malawak na kampanya ng TamperedChef, na kilala rin bilang EvilAI.

Ang mga kampanyang TamperedChef ay umaasa sa mga trojanized na productivity application upang mamahagi ng mga potentially unwanted programs (PUPs) at adware. Ang mga malisyosong application na ito ay itinataguyod sa pamamagitan ng mga mapanlinlang na kampanya sa advertising na idinisenyo upang kumbinsihin ang mga user na nagda-download sila ng mga lehitimong software tool.

Nakakahamak na Advertising na Pinapagana ng mga Kumpanya ng Shell

Isang mahalagang elemento ng operasyon ang isang malawak na network ng mga malvertising na gumagamit ng mga advertisement ng Google at YouTube. Gumagamit ang mga umaatake ng maraming shell company na na-verify ng Google upang mag-publish at mag-promote ng mga malisyosong ad, na nagpapataas ng kredibilidad ng kanilang mga kampanya at tumutulong sa kanila na maiwasan ang masusing pagsisiyasat ng mga platform ng advertising.

Kabilang sa mga kompanyang may kaugnayan sa operasyon ay:

AdsParkPro LTD, Advantage Web Marketing LLC, at SOFT WE ART LIMITED (ngayon ay tumatakbo bilang PACIFIC TRADE SOLUTIONS LTD).
Ang mga karagdagang tala mula sa YouControl at sa Companies House registry ng United Kingdom ay nagpapahiwatig ng mga koneksyon sa pagitan ng mga entidad na ito at ng mga indibidwal na Ukrainian.

Pangunahing tinatarget ng mga patalastas ang mga gumagamit ng macOS na matatagpuan sa Estados Unidos, Canada, Australia, France, at Germany. Bagama't hindi na maa-access ang mga nauugnay na Google Ads account sa pamamagitan ng Google Ads Transparency Center, patuloy na ipinapakita ng mga makasaysayang tala ang mga koneksyon sa pagitan ng mga sangkot na entidad.

Pag-hijack ng Browser sa mga Pinagkakatiwalaang Aplikasyon

Kapag naisagawa na, binabago ng FlutterShell ang mga configuration file ng Google Chrome upang i-redirect ang lahat ng trapiko ng browser sa pamamagitan ng mga website na kontrolado ng mga attacker na puno ng mga advertisement. Ang pamamaraang ito ng browser hijacking ay nagbibigay-daan sa mga threat actor na kumita habang pinapanatili ang kontrol sa aktibidad ng pag-browse ng user.

Partikular na nakababahala ang katotohanan na ang bawat sinuring sample ay nilagdaan gamit ang mga wastong Apple Developer ID at matagumpay na nakapasa sa proseso ng notarization ng Apple. Bilang resulta, hindi natukoy ng mga awtomatikong mekanismo ng seguridad ng Apple ang mga application bilang malisyoso sa oras na isinumite ang mga ito.

Pinapagana ng Arkitektura ng WebView ang Dynamic na Pag-unlad ng Malware

Isa sa mga pinakanatatanging katangian ng FlutterShell ay ang paggamit nito ng arkitekturang nakabatay sa WebView na sinamahan ng JavaScript-to-native communication bridge. Sa modelong ito, ang application ay nag-eembed ng isang browser component na nagpapakita ng nilalaman ng web habang pinapayagan ang JavaScript code na direktang makipag-ugnayan sa mga function ng native system.

Sa halip na direktang mag-embed ng malisyosong lohika sa binary ng application, ang mga threat actor ay nagho-host ng mahahalagang bahagi ng functionality ng malware sa mga remote website na nasa ilalim ng kanilang kontrol. Ang pamamaraang ito ay nagbibigay ng ilang bentahe:

Maaaring baguhin ang kilos ng malware sa totoong oras nang hindi na kailangang i-recompile ang application.
Maaaring ipakilala ang mga bagong functionality nang hindi namamahagi ng mga na-update na binary ng malware.
Nagiging mas mahirap ang pagtuklas dahil ang pangunahing malisyosong lohika ay nasa labas ng naka-install na application.

Ang arkitekturang ito ay nagbibigay sa mga umaatake ng pambihirang kakayahang umangkop at nagbibigay-daan sa mabilis na pag-angkop sa mga hakbang sa pagtatanggol.

Aktibong Pag-unlad ng Signal ng Maramihang Baryante

Natukoy ng mga mananaliksik ang tatlong kilalang variant ng FlutterShell: PodcastsLounge, PDF-Brain, at PDF-Ninja. Ang pagsusuri sa imprastraktura ng mga umaatake ay nagsiwalat ng mga hindi kumpletong function ng JavaScript at mga hindi natapos na bahagi ng code, na nagmumungkahi na ang pag-develop ay patuloy.

Maraming variant, partikular na ang PDF-Brain at PDF-Ninja, ang may mga feature sa pagbubuod ng dokumento na pinapagana ng artificial intelligence. Gayunpaman, ang mga dokumentong isinumite para sa pagbubuod ay unang dinadaan sa mga server na kontrolado ng mga attacker bago iproseso, na lumilikha ng mga malaking alalahanin sa privacy at seguridad para sa mga apektadong user.

Malakas na Teknikal na Ugnayan sa mga Naunang Kampanya

Ang FlutterShell ay may kapansin-pansing pagkakatulad sa mga naunang pamilya ng malware na naka-link sa CL-CRI-1089, partikular na ang Calenandromatic at Recipe Lister. Ang pinakahalatang pagsasanib ay ang shared WebView-based architecture, na nagbibigay-daan sa dynamic na pagbabago ng mga malisyosong payload pagkatapos ng deployment.

Napansin din ng mga imbestigador na ang Advantage Web Marketing LLC ay hindi lamang nakibahagi sa pamamahagi ng mga malisyosong advertisement kundi kumilos din bilang signing entity para sa mga sample ng adware na nakabatay sa Windows na nauugnay sa parehong threat cluster. Ang mga natuklasang ito ay lalong nagpapalakas sa mga koneksyon sa pagitan ng iba't ibang kampanya.

Isang Patuloy at Lumalalang Banta

Ang paglipat mula sa JSCoreRunner patungong FlutterShell ay nagpapakita ng malaking pagtaas sa teknikal na sopistikasyon ng CL-CRI-1089. Ang kombinasyon ng advanced na pagbuo ng malware, malawakang operasyon ng malvertising, at paggamit ng mga beripikadong kumpanya ng shell upang malampasan ang mga kontrol sa platform ng advertising ay nagpapakita ng lumalaking bisa ng mga taktika ng grupo.

Ang koordinadong paggamit ng maraming organisasyong pang-prente, kasama ang mabilis na paglitaw ng mga bagong variant ng FlutterShell, ay nagmumungkahi na ang Operation FlutterBridge ay nananatiling isang aktibo at umuusbong na banta. Nagbabala ang mga mananaliksik sa seguridad na ang kampanya ay malayo pa sa matapos at malamang na patuloy na iaangkop ang mga pamamaraan nito upang ma-target ang mga gumagamit ng macOS sa buong mundo.