Эксперты раскрыли кампанию FlutterBridge: вредоносная реклама доставляет на macOS шпионское ПО под видом плеера и PDF-читалок

information security

Вредоносная реклама (malvertising) остаётся одной из самых коварных угроз для пользователей, поскольку использует доверенные рекламные сети для распространения зловредов. Специалисты компании Palo Alto Networks из подразделения Unit 42 выявили масштабную кампанию, направленную на владельцев устройств под управлением macOS. Злоумышленники, действующие в рамках кластера, который аналитики назвали CL-CRI-1089, активно рекламируют приложения, внешне выглядящие как безобидные утилиты. Однако внутри этих программ скрывается вредоносная нагрузка, получившая название FlutterShell, которая предоставляет атакующим полный удалённый контроль над заражённым компьютером.

Описание

Кампания, получившая обозначение Operation FlutterBridge, является прямым продолжением более ранней активности, известной как JSCoreRunner. Если раньше злоумышленники ограничивались доставкой обычного рекламного ПО (adware), то теперь они перешли к внедрению полноценных бэкдоров. FlutterShell написан с использованием кроссплатформенного фреймворка Flutter, что создаёт серьёзные трудности для специалистов по информационной безопасности. Дело в том, что Flutter компилирует код на языке Dart в динамическую библиотеку, отделяя при этом логику выполнения от используемых строк и переменных. Это сильно усложняет обратную разработку методами статического анализа.

Архитектура FlutterShell построена на технологии WebView - встроенном веб-браузере, который загружает удалённый контент. Вредоносный код не вшит непосредственно в исполняемый файл приложения. Вместо этого он хранится на серверах, контролируемых злоумышленниками. При запуске программа соединяется с командным сервером (C2), получает оттуда JavaScript-код и выполняет его в контексте WebView. Для передачи команд из этого веб-окружения в операционную систему macOS используется особый мост (JavaScript bridge). Такой подход позволяет атакующим в любой момент изменять поведение вредоноса без необходимости перекомпиляции и повторного распространения приложения.

Исследователи из Unit 42 обнаружили три версии FlutterShell, существовавшие в период до февраля 2026 года. Первая маскировалась под приложение для прослушивания подкастов PodcastsLounge. Две последующие представляли себя как PDF-просмотрщики PDF-Brain и PDF-Ninja. Все три программы были полностью функциональны - пользователь мог слушать подкасты или открывать документы, что помогало скрывать фоновую вредоносную активность. Каждая новая версия получала всё более продвинутые методы обфускации для затруднения анализа. Например, в последней версии разработчики использовали встроенную функцию фреймворка Flutter "--obfuscate", которая удаляет отладочную информацию и рандомизирует имена символов. Более того, команды злоумышленников были переименованы так, чтобы выглядеть как легитимные функции для работы с PDF-файлами.

Несмотря на сложную архитектуру, основная цель атаки на данном этапе сводится к банальному, но очень прибыльному мошенничеству с рекламой. После установки FlutterShell собирает уникальный идентификатор аппаратного обеспечения (IOPlatformUUID). Затем вредонос модифицирует файл конфигурации Google Chrome "Secure Preferences". Программа подменяет адрес поисковой системы и страницы новой вкладки на подконтрольный домен "sinterfumesco[.]com". Чтобы изменения вступили в силу, зловред принудительно завершает процесс Chrome с помощью команды "killall "Google Chrome"" и запускает его заново со специальными флагами, которые подавляют стандартные предупреждения о некорректном завершении. В итоге каждый поисковый запрос пользователя перенаправляется на мошеннический сайт, через который атакующие показывают рекламу, получая за это доход, а затем переадресуют жертву на легитимный поисковик.

С технической точки зрения примечательно, что все три образца были подписаны действующими сертификатами разработчика Apple и прошли процедуру нотаризации - автоматической проверки безопасности. Это означает, что на момент загрузки в магазин приложений автоматизированные системы Apple не распознали в них вредоносное ПО. Более того, на VirusTotal эти файлы на момент анализа не имели ни одного срабатывания антивирусных движков. Такая ситуация говорит о том, что злоумышленники тщательно подошли к обману защитных механизмов.

Интересной особенностью версий PDF-Brain и PDF-Ninja стала встроенная функция ИИ-суммирования. Пользователь мог отправить документ на обработку и получить краткое содержание. Однако данные уходили не напрямую к поставщику ИИ-услуг. Вредонос сначала пересылал содержимое файла на командный сервер злоумышленников по адресу "https://[attacker_domain]/summarize-text". Сервер выступал посредником: он передавал запрос нейросети, а ответ возвращал пользователю. Таким образом, злоумышленники получали доступ ко всем документам, которые жертва решала обработать.

Масштаб кампании впечатляет. Для распространения FlutterShell атакующие создали сеть подставных компаний, которые прошли верификацию в Google Ads. Речь идёт об организациях AdsParkPro LTD, Advantage Web Marketing LLC и SOFT WE ART LIMITED. Формально это были украинские и британские компании, зарегистрированные за несколько лет до начала вредоносной активности. У них практически отсутствовало цифровое присутствие, кроме минималистичных сайтов-шаблонов. Специалисты отметили характерную тактику: после регистрации рекламного аккаунта злоумышленники выдерживали паузу примерно в год перед началом активных трат на рекламу. Такой подход позволяет обойти начальные фильтры мошенничества в рекламных сетях.

Когда компанию AdsParkPro LTD заблокировали в середине января 2026 года, её рекламные объявления исчезли из системы Google Ads. Одновременно в публичных реестрах изменили статус компании на "бездействующую". Однако уже через две недели появилась новая версия FlutterShell, распространяемая через другую компанию - Advantage Web Marketing LLC. Это говорит о высокой степени организации и наличии подготовленной инфраструктуры для быстрого развёртывания новых волн атак.

Специалисты обращают внимание на эволюцию кластера CL-CRI-1089. Ранее эта же группа была замечена за атаками на Windows с использованием вредоносов RecipeLister и Calendaromatic. Все три кампании - и для Windows, и для macOS - связывает одинаковая архитектура с WebView и динамической загрузкой кода, а также использование одних и тех же методов для перехвата браузера. По мнению экспертов, переход на Flutter - это значительное повышение технического уровня злоумышленников, который превращает безобидный adware в полноценный инструмент для удалённого доступа. Учитывая быстрое появление новых вариантов и продолжающееся распространение через сотни активных рекламных объявлений, кампанию FlutterBridge нельзя считать завершённой. Пользователям macOS стоит проявлять повышенную бдительность при установке программ, особенно если они "найдены" через поисковую рекламу, а не загружены из официального магазина Apple.

Индикаторы компрометации

IPv4

  • ads-parkpro.com
  • adsparkpro.net
  • adsparkpro.top
  • atsheisdomestic.org
  • etoftheappyrince.org
  • healightejustb.org
  • sinterfumesco.com
  • softwe.art

URLs

  • https://atsheisdomestic.org/update-thanks.html
  • https://etoftheappyrince.org/update-delay
  • https://healightejustb.org/checkupdateTO.js

SHA256

  • 021666417de8b9972c179783fe60d4c4ad2d93224e3a0f16137065c960b1b845
  • 30448686ec900d5213d74f08f0d2b7924c5336a29445b2a434aba8d8b19d7530
  • 363923500ce942bf1a953e8a4e943fbf1fb1b5ed6e5d247964c345b3ad5bfc34
  • 48047c34bbd57fe1e24bc538bc2ce9e0ac4c4eb48d3b0c195b414f0379dc0745
  • 644fc49fa1006a2a2acace694e5fb83753164e2617051ece6d9dc9ea32329e70
  • 8421c902364980e3d762ec6dbbe6b0f40577c27bd79b48c57d098328b2533109
  • 9053e8ddaecca1f960c041c944ca8799fc71dc86a4b50d2639ee4e0d2cb82f47
  • 9425e8e39fa8a7212cdd07f0917cb3dfde38a90b87297de2c82a5850aff1e4de
  • b60074d1ea2008a581f432f2dee5f84f78668d9dd8e66f75d03c42dabd89bdea

Комментарии: 0