Вирус FlutterShell обманул Apple и хозяйничает на тысячах Mac по всему миру

Эксперты Unit 42 раскрыли кампанию Operation FlutterBridge, где хакеры через рекламу Google и ролики YouTube распространяли поддельные программы для macOS с новым бэкдором FlutterShell. Заражённые установщики имели действующие сертификаты Apple и проходили нотаризацию, поэтому система не выдавала привычных предупреждений о подозрительном источнике.

Подразделение Unit 42 компании Palo Alto Networks связывает свежую операцию с известной преступной инфраструктурой JSCoreRunner, которую ранее уже сводили с семейством FileRipple. Обе цепочки специалисты собрали под обозначением CL-CRI-1089. Судя по собранным данным, группа действует минимум с 2023 года, постепенно подкручивая инструменты и схемы доставки вредоносов конечной аудитории.

Отмечается, что FlutterShell сочетает свойства рекламного зловреда и полноценного средства удалённого управления компьютером жертвы.

Сам зловред построен поверх Flutter, фреймворка для кроссплатформенной разработки. Авторы взяли популярную у программистов технологию и приспособили её под совсем иные задачи. После установки программа умеет вытворять довольно широкий набор действий с пользовательской машиной.

Возможности FlutterShell после запуска на macOS:

• Подгрузка рекламных модулей и подмена баннеров в браузере;
• Выполнение произвольных команд оболочки от имени владельца устройства;
• Чтение, изменение и удаление содержимого каталогов файловой системы;
• Сбор сведений о переменных окружения операционки;
• Передача оператору данных о конфигурации рабочего пространства.

Доставка зловреда построена не через сомнительные форумы или варезные порталы, а через вполне легальные рекламные механизмы. Жертве показывалась реклама от якобы обычной компании, предлагающей скачать полезное настольное приложение. Клик уводил человека на убедительно оформленный сайт, откуда уже грузился заражённый установщик.

Для прохождения автоматических фильтров рекламных площадок преступники развернули сеть подставных юрлиц. В отчёте упоминаются AdsParkPro LTD, Advantage Web Marketing LLC и SOFT WE ART LIMITED, позже переименованная в PACIFIC TRADE SOLUTIONS LTD. Эти структуры играли роль фасада, позволяя проводить вредоносные объявления через модерацию Google Ads и YouTube без существенных проблем.

География атаки и связи операторов:

• Основные жертвы — владельцы Mac в США, Канаде и Австралии;
• Дополнительный охват пришёлся на пользователей из Франции и Германии;
• Рекламные аккаунты к моменту публикации уже пропали из Центра прозрачности Google Ads;
• По данным сервиса YouControl, упомянутые юрлица имеют связи с гражданами Украины;
• Следы свежей модификации FlutterShell фиксировались ещё в марте 2026 года.

Захват браузера выглядит у FlutterShell довольно изящно. Программа переписывает настройки Google Chrome и заворачивает интернет-трафик через подконтрольный преступникам промежуточный узел. Внешне работа за компьютером ничем не отличается от привычной, но часть сетевых запросов уже идёт через инфраструктуру атакующих, где могут подгружаться сторонние баннеры и новые вредоносные нагрузки.

Идо Ашер, Ноа Декель и Том Фактерман из Unit 42 рассказывают, что все найденные образцы были подписаны действительными сертификатами разработчиков Apple и спокойно проходили нотаризацию. Встроенные механизмы macOS не опознали в этих файлах угрозу, поэтому пользователи скачивали и запускали зловред без единого тревожного окна от системы.

Стоит обратить внимание, что вместо хранения вредоносной логики прямо в бинарнике авторы вынесли её во внешний веб-ресурс через WebView.

Архитектура зловреда устроена вокруг встроенного браузерного компонента. Специальный мост между JavaScript и нативным кодом получает инструкции с удалённого сайта, и почти вся боевая начинка может лежать где угодно, кроме исполняемого файла. Оператору достаточно поправить содержимое внешнего сервера, чтобы поведение программы поменялось на всех заражённых устройствах одновременно.

Чем такая схема удобна авторам зловреда:

• Антивирусам сложнее зацепить угрозу, поскольку бинарник остаётся неизменным.
• Поведение зараженного приложения можно править почти в режиме реального времени.
• Пользователю не приходится ничего переустанавливать после обновления функционала.
• Веб-контент и нативный код приложения свободно вызывают функции друг друга.

На текущий момент Unit 42 разобрала три модификации семейства, которые расходились под именами PodcastsLounge, PDF-Brain и PDF-Ninja. В размещённом на серверах преступников JavaScript-коде нашлись недописанные функции и сырые элементы, что намекает на продолжающуюся доработку FlutterShell его создателями.

Ранее сообщалось, что хакеры наклепали поддельные сайты популярных средств анализа вредоносного ПО и через них одновременно зарабатывают на рекламе и подсовывают посетителям загрузчики, стилеры и криптоклипперы. Команда Check Point Research насчитала более ста таких ресурсов, мимикрирующих под известные open source-проекты.

Эксперты CISOCLUB отмечают, что кейс FlutterBridge показывает слабое место всей цепочки доверия в экосистеме Apple. Когда зловред получает действительный сертификат разработчика и спокойно проходит нотаризацию, рядовой пользователь macOS теряет последний понятный ему ориентир для отличия легитимной программы от вредоноса. Связка WebView и Flutter превращает классические антивирусные сигнатуры в инструмент с ограниченной полезностью, поскольку бинарник остаётся чистым, а вся вредоносная начинка живёт во внешнем сервере.

Рекламные платформы Google и YouTube в этой схеме выступают не пассивным каналом, а полноценным усилителем атаки, что давно пора честно признать на уровне индустрии. Корпорациям и частным пользователям стоит пересмотреть подход к загрузке софта из рекламных объявлений и блокировать установку приложений из источников вне App Store на корпоративных Mac. Без жёстких организационных мер никакие технические заплатки тут не помогут.