FlutterBridge: вредоносное ПО для macOS обходит защиту Apple

Исследователи кибербезопасности выявили FlutterBridge — сложную киберкампанию, ориентированную на macOS и использующую фреймворк Flutter для доставки вредоносного ПО. Центральным элементом атаки стал бэкдор FlutterShell, который демонстрирует развитие сразу в трех поколениях и заметно отличается от типичных вредоносных образцов для Apple-платформы.

Особенность кампании заключается не только в технической сложности, но и в продуманной модели уклонения от обнаружения. Злоумышленники разделяют статический binary и payload команды, а также используют WebView для загрузки контролируемого ими содержимого. Через канал сообщений JavaScript, известный как FlutterInvoke, вредонос получает команды и передает их в среду выполнения.

Архитектура и эволюция FlutterShell

Анализ показал, что вредоносное ПО функционирует на основе нескольких Mach-O образцов и использует двухкомпонентную архитектуру. В такой схеме загрузчик-заглушка запускает крупную динамически связанную библиотеку полезной нагрузки, которая содержит Dart runtime и вредоносную логику.

Исследователи отмечают, что каждая полезная нагрузка связывается только с системными библиотеками, включая libSystem.B.dylib, и не использует стандартные Apple frameworks. Это помогает отличить вредоносный код от легитимных приложений macOS.

  • разделение статического binary и payload команды;
  • использование WebView для загрузки вредоносного содержимого;
  • канал управления через JavaScript message channel FlutterInvoke;
  • двухкомпонентная архитектура с загрузчиком-заглушкой и динамически связанной библиотекой;
  • связь только с системными библиотеками, в частности libSystem.B.dylib.

Условное выполнение и зависимость от C2

Отдельное внимание в отчете уделяется тому, что вредоносное ПО демонстрирует conditional execution model, зависящую от сервера управления C2. На практике это означает, что без живого ответа от инфраструктуры злоумышленника образец может не проявлять вредоносной активности.

Именно поэтому в песочнице не фиксируется заметное вредоносное поведение: без взаимодействия с C2 malware остается неактивным. Эксперты подчеркивают, что обычные behavioral sandboxes не способны полноценно имитировать живое общение с C2, а значит, основным методом выявления таких угроз должна становиться endpoint telemetry.

Отсутствие видимого вредоносного поведения в песочнице указывает на то, что malware остается неактивным без живого ответа C2.

Как злоумышленники обходят защиту Apple

Операционная стратегия атакующих включает ротацию сертификатов, что позволяет обходить защитные механизмы Apple Gatekeeper. Ранние поколения использовали valid Apple certificates для прохождения первоначальной проверки, однако позднее злоумышленники перешли на self-signed artifacts, чтобы усилить возможности уклонения.

Такой подход помогает эффективно обходить и механизмы revocation, усложняя блокировку кампании на стороне платформы.

Вектор заражения: Google/YouTube ads и typosquatted domains

Наиболее вероятный сценарий заражения начинается с продвижения через Google/YouTube ads. Жертв привлекают keywords, связанные с популярными приложениями, например podcast apps или PDF converters. Далее пользователей перенаправляют на typosquatted domains, где они загружают подписанные application packages, внешне неотличимые от легитимного ПО.

После установки приложение демонстрирует убедительный functional interface, одновременно устанавливая соединение с доменом злоумышленника для выполнения команд. Такая схема сочетает социальную инженерию и техническое сокрытие, что повышает вероятность успешного заражения.

Поведение полезной нагрузки и признаки для обнаружения

Отчет также фиксирует ряд характерных действий payload, которые можно использовать как защитные маркеры. Среди них — попытки изменить default search provider в Chrome, подавить browser warnings и тихо заменить application packages во время update cycles.

По мнению исследователей, именно совокупность уникальных атрибутов и операционного поведения FlutterShell создает набор отличительных индикаторов, пригодных для мониторинга аномальной активности, связанной с этой кампанией.

  • изменение default search provider в Chrome;
  • подавление browser warnings;
  • тихая замена application packages во время update cycles;
  • идентичные fingerprints экспортируемых символов;
  • согласованная архитектура между несколькими payload.

Почему эта кампания опасна

FlutterBridge выделяется тем, что сочетает современный cross-platform framework, скрытую архитектуру управления и продвинутые методы обхода защиты macOS. Для defenders это означает необходимость не только отслеживать сигнатуры, но и анализировать поведение на конечных точках, сетевые зависимости и аномалии в связях с C2.

В условиях, когда malware может оставаться пассивным без живого управляющего канала, традиционные методы sandbox analysis оказываются недостаточными. Именно поэтому FlutterBridge рассматривается как показатель того, что macOS-угрозы продолжают эволюционировать в сторону большей модульности, скрытности и адаптивности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: