Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mac-Malware FlutterShell macOS Hintertür

FlutterShell macOS Hintertür

Von Mezo in Mac-Malware, Hintertür-Viren
Übersetzen Sie in:

Cybersicherheitsforscher haben eine großangelegte macOS-Malvertising-Kampagne namens „Operation FlutterBridge“ aufgedeckt, die für die Verbreitung einer neu identifizierten Backdoor namens FlutterShell verantwortlich ist. Die Kampagne stellt die neueste Entwicklung eines Bedrohungsclusters dar, der zuvor mit JSCoreRunner (auch bekannt als FileRipple) in Verbindung gebracht wurde – einer Schadsoftware, die erstmals im August 2025 dokumentiert wurde.

Die hinter beiden Angriffsketten stehende Cyberkriminellengruppe wird unter der Bezeichnung CL-CRI-1089 geführt und ist vermutlich mindestens seit 2023 aktiv. Sicherheitsanalysten betrachten FlutterShell als einen bedeutenden Fortschritt in den Fähigkeiten und der Infrastruktur der Gruppe.

Von Adware bis hin zu vollwertigen Hintertürfunktionen

FlutterShell wurde mit Googles Flutter-Framework entwickelt und wird über schädliche Desktop-Anwendungen verbreitet, die zunächst legitim erscheinen. Die Schadsoftware enthält zwar Adware-Funktionen, ihre Fähigkeiten gehen jedoch weit über unerwünschte Werbung hinaus.

Die Schadsoftware kann:

  • Führe beliebige Shell-Befehle auf infizierten Systemen aus.
  • Mit Dateien innerhalb des Dateisystems interagieren und diese bearbeiten.
  • Exfiltrieren von Umgebungsvariablen und Systeminformationen.
  • Führen Sie eine System-Fingerprinting-Analyse durch.
  • Browser-Sitzungsdaten stehlen.

Forscher beobachteten noch im März 2026 bösartige Aktivitäten im Zusammenhang mit FlutterShell, was darauf hindeutet, dass die Kampagne weiterhin aktiv ist.

Ein wachsendes Malware-Ökosystem mit Verbindung zu TamperedChef

FlutterShell stellt keine isolierte Bedrohung dar. Zu den Operationen, die CL-CRI-1089 zugeschrieben werden, gehören auch Recipe Lister und Calendaromatic, die beide mit der umfassenderen TamperedChef-Kampagne, auch bekannt als EvilAI, in Verbindung stehen.

Die Kampagnen von TamperedChef nutzen Trojaner-verschlüsselte Produktivitätsanwendungen, um potenziell unerwünschte Programme (PUPs) und Adware zu verbreiten. Diese Schadsoftware wird durch irreführende Werbekampagnen beworben, die Nutzern vorgaukeln sollen, sie würden legitime Software herunterladen.

Bösartige Werbung, finanziert von Briefkastenfirmen

Ein Schlüsselelement der Operation ist ein umfangreiches Malvertising-Netzwerk, das Google- und YouTube-Anzeigen nutzt. Die Angreifer verwenden mehrere von Google verifizierte Briefkastenfirmen, um schädliche Anzeigen zu veröffentlichen und zu bewerben. Dies erhöht die Glaubwürdigkeit ihrer Kampagnen und hilft ihnen, die Kontrollen der Werbeplattformen zu umgehen.

Zu den an der Operation beteiligten Unternehmen gehören:

AdsParkPro LTD, Advantage Web Marketing LLC und SOFT WE ART LIMITED (jetzt tätig unter dem Namen PACIFIC TRADE SOLUTIONS LTD).
Weitere Aufzeichnungen von YouControl und dem britischen Handelsregister Companies House weisen auf Verbindungen zwischen diesen Organisationen und ukrainischen Einzelpersonen hin.

Die Anzeigen richten sich vorwiegend an macOS-Nutzer in den USA, Kanada, Australien, Frankreich und Deutschland. Obwohl die zugehörigen Google Ads-Konten nicht mehr über das Google Ads Transparency Center zugänglich sind, lassen historische Aufzeichnungen weiterhin Verbindungen zwischen den beteiligten Unternehmen erkennen.

Browser-Hijacking durch vertrauenswürdige Anwendungen

Nach der Ausführung modifiziert FlutterShell die Konfigurationsdateien von Google Chrome, um den gesamten Browserverkehr über vom Angreifer kontrollierte, mit Werbung gefüllte Zwischenwebseiten umzuleiten. Diese Browser-Hijacking-Technik ermöglicht es Angreifern, Einnahmen zu generieren und gleichzeitig die Kontrolle über das Surfverhalten der Nutzer zu behalten.

Besonders besorgniserregend ist die Tatsache, dass alle analysierten Dateien mit gültigen Apple-Entwickler-IDs signiert wurden und Apples Notarisierungsprozess erfolgreich durchlaufen haben. Daher erkannten Apples automatisierte Sicherheitsmechanismen die Anwendungen zum Zeitpunkt ihrer Einreichung nicht als schädlich.

Die WebView-Architektur ermöglicht die dynamische Malware-Evolution

Eine der markantesten Eigenschaften von FlutterShell ist die Verwendung einer WebView-basierten Architektur in Kombination mit einer JavaScript-zu-nativen Kommunikationsbrücke. In diesem Modell bettet die Anwendung eine Browserkomponente ein, die Webinhalte anzeigt, während JavaScript-Code direkt mit nativen Systemfunktionen kommunizieren kann.

Anstatt Schadcode direkt in die Anwendungsdatei einzubetten, hosten die Angreifer wesentliche Teile der Malware-Funktionalität auf externen, von ihnen kontrollierten Websites. Dieser Ansatz bietet mehrere Vorteile:

Das Verhalten von Schadsoftware kann in Echtzeit geändert werden, ohne dass die Anwendung neu kompiliert werden muss.
Neue Funktionen können eingeführt werden, ohne aktualisierte Malware-Binärdateien zu verteilen.
Die Erkennung wird schwieriger, da sich die eigentliche Schadsoftware außerhalb der installierten Anwendung befindet.

Diese Architektur bietet Angreifern außergewöhnliche Flexibilität und ermöglicht eine schnelle Anpassung an Verteidigungsmaßnahmen.

Mehrere Varianten deuten auf aktive Entwicklung hin

Forscher haben drei bekannte FlutterShell-Varianten identifiziert: PodcastsLounge, PDF-Brain und PDF-Ninja. Die Analyse der Infrastruktur der Angreifer ergab unvollständige JavaScript-Funktionen und unfertige Codekomponenten, was darauf hindeutet, dass die Entwicklung noch andauert.

Mehrere Varianten, insbesondere PDF-Brain und PDF-Ninja, nutzen KI-gestützte Funktionen zur Dokumentenzusammenfassung. Allerdings werden die zur Zusammenfassung eingereichten Dokumente vor der Verarbeitung zunächst über von Angreifern kontrollierte Server geleitet, was erhebliche Datenschutz- und Sicherheitsrisiken für die betroffenen Nutzer birgt.

Starke technische Verbindungen zu früheren Kampagnen

FlutterShell weist bemerkenswerte Ähnlichkeiten mit früheren Malware-Familien auf, die mit CL-CRI-1089 in Verbindung gebracht wurden, insbesondere mit Calendaromatic und Recipe Lister. Die offensichtlichste Überschneidung ist die gemeinsame WebView-basierte Architektur, die eine dynamische Modifizierung der Schadsoftware nach der Bereitstellung ermöglicht.

Die Ermittler stellten außerdem fest, dass Advantage Web Marketing LLC nicht nur an der Verbreitung schädlicher Werbung beteiligt war, sondern auch als Signaturinstanz für Windows-basierte Adware-Proben fungierte, die demselben Bedrohungscluster zugeordnet sind. Diese Erkenntnisse untermauern die Verbindungen zwischen den verschiedenen Kampagnen zusätzlich.

Eine anhaltende und sich verschärfende Bedrohungslandschaft

Der Übergang von JSCoreRunner zu FlutterShell belegt eine deutliche Steigerung der technischen Raffinesse von CL-CRI-1089. Die Kombination aus fortschrittlicher Malware-Entwicklung, groß angelegten Malvertising-Operationen und der Nutzung verifizierter Briefkastenfirmen zur Umgehung der Kontrollmechanismen von Werbeplattformen unterstreicht die zunehmende Effektivität der Taktiken der Gruppe.

Die koordinierte Nutzung mehrerer Tarnorganisationen und das rasante Auftreten neuer FlutterShell-Varianten deuten darauf hin, dass Operation FlutterBridge weiterhin eine aktive und sich entwickelnde Bedrohung darstellt. Sicherheitsforscher warnen, dass die Kampagne noch lange nicht beendet ist und ihre Techniken wahrscheinlich weiter anpassen wird, um macOS-Nutzer weltweit ins Visier zu nehmen.

Im Trend

Am häufigsten gesehen

Wird geladen...