FlutterShell macOS 后门
网络安全研究人员发现了一项名为“FlutterBridge行动”的大规模macOS恶意广告活动,该活动传播了一种名为FlutterShell的新型后门程序。此次活动是此前与JSCoreRunner(又名FileRipple)相关的威胁集群的最新演变,该恶意活动最早于2025年8月被记录在案。
这两个攻击链背后的网络犯罪团伙被追踪为 CL-CRI-1089,据信至少从 2023 年起就一直活跃。安全分析师认为 FlutterShell 是该团伙能力和基础设施的一次重大进步。
目录
从广告软件到完整的后门功能
FlutterShell 使用谷歌的 Flutter 框架开发,并通过恶意桌面应用程序传播,这些应用程序起初看起来合法。虽然该恶意软件包含广告软件功能,但其能力远不止于此。
该恶意软件可以:
- 在受感染的系统上执行任意 shell 命令。
- 与文件系统中的文件进行交互和操作。
- 提取环境变量和系统信息。
- 进行系统指纹识别。
- 窃取浏览器会话数据。
研究人员观察到,截至 2026 年 3 月,仍有涉及 FlutterShell 的恶意活动,这表明该活动仍在进行中。
与 TamperedChef 相关的恶意软件生态系统正在不断壮大
FlutterShell并非孤立威胁。与CL-CRI-1089相关的攻击还包括Recipe Lister和Calendaromatic,这两者都与更广泛的TamperedChef攻击活动(也称为EvilAI)有关。
TamperedChef 攻击活动利用植入木马的办公软件来传播潜在有害程序 (PUP) 和广告软件。这些恶意应用程序通过欺骗性的广告宣传活动进行推广,旨在让用户误以为自己下载的是合法的软件工具。
壳牌公司支持的恶意广告
该行动的关键要素是利用谷歌和YouTube广告构建的庞大恶意广告网络。攻击者使用多家经谷歌验证的空壳公司发布和推广恶意广告,从而提高其攻击活动的可信度,并帮助他们逃避广告平台的审查。
与此次行动相关的公司包括:
AdsParkPro LTD、Advantage Web Marketing LLC 和 SOFT WE ART LIMITED(现以 PACIFIC TRADE SOLUTIONS LTD 的名义运营)。
来自 YouControl 和英国公司注册处的额外记录表明,这些实体与乌克兰个人之间存在联系。
这些广告主要针对位于美国、加拿大、澳大利亚、法国和德国的 macOS 用户。虽然相关的 Google Ads 帐户已无法通过 Google Ads 透明度中心访问,但历史记录仍然显示相关实体之间存在关联。
通过受信任的应用程序劫持浏览器
FlutterShell 执行后会修改 Google Chrome 的配置文件,将所有浏览器流量重定向到攻击者控制的、充斥着广告的中间网站。这种浏览器劫持技术使攻击者能够在控制用户浏览活动的同时牟利。
尤其令人担忧的是,所有分析的样本都使用有效的苹果开发者 ID 进行了签名,并成功通过了苹果的公证流程。因此,苹果的自动安全机制在提交时未能将这些应用程序识别为恶意应用程序。
WebView架构支持恶意软件的动态演化
FlutterShell 最显著的特点之一是它采用了基于 WebView 的架构,并结合了 JavaScript 到原生系统的通信桥梁。在这种模式下,应用程序嵌入了一个浏览器组件来显示网页内容,同时允许 JavaScript 代码直接与原生系统函数通信。
攻击者并非将恶意逻辑直接嵌入应用程序二进制文件中,而是将恶意软件的大部分功能托管在他们控制的远程网站上。这种方法具有以下几个优点:
恶意软件的行为可以实时修改,而无需重新编译应用程序。
无需分发更新后的恶意软件二进制文件即可引入新功能。
由于核心恶意逻辑位于已安装应用程序之外,因此检测变得更加困难。
这种架构赋予攻击者极大的灵活性,并允许其快速适应防御措施。
多种变异体表明活跃发育
研究人员已识别出三种已知的 FlutterShell 变种:PodcastsLounge、PDF-Brain 和 PDF-Ninja。对攻击者基础设施的分析显示,其中存在不完整的 JavaScript 函数和未完成的代码组件,表明这些变种仍在开发中。
一些变种恶意软件,特别是 PDF-Brain 和 PDF-Ninja,都集成了人工智能驱动的文档摘要功能。然而,提交用于摘要的文档在处理前会先经过攻击者控制的服务器,这会给受影响的用户带来严重的隐私和安全隐患。
与早期战役有紧密的技术联系
FlutterShell 与之前与 CL-CRI-1089 相关的恶意软件家族,特别是 Calendaromatic 和 Recipe Lister,有着显著的相似之处。最明显的共同点是它们都采用了基于 WebView 的架构,这使得恶意载荷能够在部署后进行动态修改。
调查人员还发现,Advantage Web Marketing LLC 不仅参与了恶意广告的分发,而且还充当了与同一威胁集群相关的基于 Windows 的广告软件样本的签名实体。这些发现进一步强化了各个攻击活动之间的关联。
持续且不断升级的威胁形势
从 JSCoreRunner 到 FlutterShell 的过渡表明 CL-CRI-1089 的技术水平有了显著提高。高级恶意软件开发、大规模恶意广告活动以及利用经过验证的空壳公司绕过广告平台控制等手段的结合,凸显了该组织策略日益增长的有效性。
多个幌子组织的协同使用,以及新型 FlutterShell 变种的迅速涌现,表明“FlutterBridge 行动”仍然是一个活跃且不断演变的威胁。安全研究人员警告称,该行动远未结束,并且很可能会继续调整其攻击手法,以攻击全球 macOS 用户。
