Бэкдор FlutterShell успешно обошёл модерацию Apple и даже получил сертификат безопасности
NewsMakerА вы уверены в надёжности установленных недавно программ?
Злоумышленники нашли новый способ проникать на компьютеры пользователей macOS , маскируя вредоносное ПО под вполне безобидные приложения. За красивым интерфейсом программ для прослушивания подкастов и работы с PDF-файлами скрывается инструмент, который не только показывает рекламу, но и даёт хакерам удалённый доступ к системе.
О новой вредоносной кампании, известной как Operation FlutterBridge, сообщили специалисты Palo Alto Networks. По их данным, за ней стоит киберпреступный кластер CL-CRI-1089, ранее связанный с JSCoreRunner. Злоумышленники продвигают приложения PodcastsLounge, PDF-Brain и PDF-Ninja через сотни объявлений в Google, а для обхода проверок используют верифицированные рекламные аккаунты компаний с признаками фирм-оболочек, включая AdsParkPro LTD и Advantage Web Marketing LLC.
Приложения выглядят легитимно и действительно выполняют заявленные функции. PodcastsLounge работает как плеер для подкастов, а PDF-Brain и PDF-Ninja открывают PDF-файлы. Дополнительное доверие создают действительные сертификаты Apple Developer ID и успешная автоматическая проверка Apple. На момент анализа некоторые образцы не определялись антивирусами на VirusTotal.
Главный риск FlutterShell связан с архитектурой. Вредоносная программа не хранится прямо в приложении, а подгружается с сервера злоумышленников через WebView. Благодаря такому подходу операторы меняют поведение программы без выпуска новой версии. Встроенные команды позволяют запускать shell-команды, читать и менять файлы, просматривать каталоги и собирать переменные окружения.
Чаще всего FlutterShell используют для перехвата работы Google Chrome . Программа меняет настройки поиска и новой вкладки, после чего направляет трафик через подконтрольный рекламный сайт. В версиях PDF-Brain и PDF-Ninja есть ещё одна опасная функция: встроенный пересказ документов с помощью ИИ отправляет содержимое файлов сначала на сервер злоумышленников, а уже затем на обработку. Так пользователи получают краткое содержание, а атакующие могут забирать копии документов.
По данным Palo Alto Networks, активность FlutterBridge продолжается как минимум с конца 2025 года и фиксируется в 2026-м. Авторы отчёта ожидают новые версии FlutterShell и считают, что похожая схема может появиться в кампаниях против macOS и Windows.
Даже привычные приложения лучше скачивать только с официальных сайтов и внимательно проверять, какие разрешения они запрашивают после установки. Доверие к рекламе, красивому интерфейсу и подписи разработчика больше не гарантирует безопасность.
Злоумышленники нашли новый способ проникать на компьютеры пользователей macOS , маскируя вредоносное ПО под вполне безобидные приложения. За красивым интерфейсом программ для прослушивания подкастов и работы с PDF-файлами скрывается инструмент, который не только показывает рекламу, но и даёт хакерам удалённый доступ к системе.
О новой вредоносной кампании, известной как Operation FlutterBridge, сообщили специалисты Palo Alto Networks. По их данным, за ней стоит киберпреступный кластер CL-CRI-1089, ранее связанный с JSCoreRunner. Злоумышленники продвигают приложения PodcastsLounge, PDF-Brain и PDF-Ninja через сотни объявлений в Google, а для обхода проверок используют верифицированные рекламные аккаунты компаний с признаками фирм-оболочек, включая AdsParkPro LTD и Advantage Web Marketing LLC.
Приложения выглядят легитимно и действительно выполняют заявленные функции. PodcastsLounge работает как плеер для подкастов, а PDF-Brain и PDF-Ninja открывают PDF-файлы. Дополнительное доверие создают действительные сертификаты Apple Developer ID и успешная автоматическая проверка Apple. На момент анализа некоторые образцы не определялись антивирусами на VirusTotal.
Главный риск FlutterShell связан с архитектурой. Вредоносная программа не хранится прямо в приложении, а подгружается с сервера злоумышленников через WebView. Благодаря такому подходу операторы меняют поведение программы без выпуска новой версии. Встроенные команды позволяют запускать shell-команды, читать и менять файлы, просматривать каталоги и собирать переменные окружения.
Чаще всего FlutterShell используют для перехвата работы Google Chrome . Программа меняет настройки поиска и новой вкладки, после чего направляет трафик через подконтрольный рекламный сайт. В версиях PDF-Brain и PDF-Ninja есть ещё одна опасная функция: встроенный пересказ документов с помощью ИИ отправляет содержимое файлов сначала на сервер злоумышленников, а уже затем на обработку. Так пользователи получают краткое содержание, а атакующие могут забирать копии документов.
По данным Palo Alto Networks, активность FlutterBridge продолжается как минимум с конца 2025 года и фиксируется в 2026-м. Авторы отчёта ожидают новые версии FlutterShell и считают, что похожая схема может появиться в кампаниях против macOS и Windows.
Даже привычные приложения лучше скачивать только с официальных сайтов и внимательно проверять, какие разрешения они запрашивают после установки. Доверие к рекламе, красивому интерфейсу и подписи разработчика больше не гарантирует безопасность.