Uma nova e rapidamente disseminada campanha de malware está colocando usuários de macOS em sério risco. Atores de ameaças estão utilizando anúncios do Google para impulsionar aplicativos de desktop falsos que instalam secretamente um backdoor poderoso em máquinas infectadas. A campanha, apelidada de Operation FlutterBridge, marca uma escalada acentuada nas táticas de atacantes motivados financeiramente que estão ativos desde pelo menos 2023.
Arquitetura e funcionamento do FlutterShell
O malware no centro desta campanha é chamado de FlutterShell, um backdoor construído usando o framework Flutter do Google. Ele é projetado para parecer e funcionar como um aplicativo real enquanto executa silenciosamente código malicioso em segundo plano. O que torna o FlutterShell particularmente perigoso é que ele vai além do espionagem básica, dando aos atacantes controle remoto total sobre o sistema infectado.
O FlutterShell usa uma arquitetura inteligente que mantém seu código malicioso fora do dispositivo inteiramente. Em vez de incorporar instruções prejudiciais no binário do aplicativo, o malware carrega uma página web remota através de um componente de navegador embutido chamado WebView. Essa página web contém a lógica de ataque real, enviada como comandos através de um canal chamado flutterInvoke.
Vetores de distribuição e adaptação
A campanha utiliza centenas de contas verificadas do Google Ads vinculadas a empresas de fachada para distribuir o malware em escala. Os anúncios foram elaborados para parecerem legítimos e alcançaram um público global amplo, com foco em países de língua inglesa e mercados europeus ocidentais, incluindo França e Alemanha. O Google confirmou que suspendeu as contas de anunciantes após ser notificado pela Unit 42.
O que diferencia o FlutterBridge de operações anteriores é o quão agressivamente os atacantes se adaptaram. Quando uma empresa de fachada, AdsParkPro LTD, foi removida do Google Ads em janeiro de 2026, os atores reapareceram apenas duas semanas depois sob uma nova conta verificada e lançaram uma nova variante de malware.
Variantes identificadas e funcionalidades
Três versões distintas do FlutterShell foram identificadas durante a investigação. A primeira se passava por um reprodutor de podcast chamado PodcastsLounge, enquanto as duas versões posteriores apareciam como visualizadores de PDF nomeados PDF-Brain e PDF-Ninja. Todas as três eram aplicativos totalmente funcionais, tornando extremamente difícil para os usuários notarem algo suspeito.
Uma vez instalado, o malware identifica a máquina e então visa o Google Chrome. Ele modifica o arquivo de configurações do Chrome para redirecionar todas as novas abas e consultas de pesquisa para um site controlado pelo atacante carregado com anúncios. O processo é completamente silencioso e os usuários não veem nenhum aviso.
Implicações de segurança e mitigação
As equipes de segurança são aconselhadas a bloquear os domínios C2 conhecidos e monitorar alterações suspeitas no arquivo Secure Preferences do Chrome. Observar o comando de identificação IOPlatformUUID e reinícios inesperados do processo Chrome com argumentos de lançamento personalizados pode ajudar a identificar sistemas infectados antes que danos maiores ocorram.
A detecção é desafiadora porque os aplicativos passaram pelo processo de notificação da Apple com IDs de desenvolvedor válidos. A análise comportamental e o monitoramento de tráfego de rede para conexões a domínios suspeitos são essenciais para identificar a infecção.
Indicadores de comprometimento (IoCs)
- SHA256 PodcastsLounge.dmg: 021666417de8b9972c179783fe60d4c4ad2d93224e3a0f16137065c960b1b845
- SHA256 PDF-Brain.dmg: 644fc49fa1006a2a2acace694e5fb83753164e2617051ece6d9dc9ea32329e70
- SHA256 PDF-Ninja.dmg: 9425e8e39fa8a7212cdd07f0917cb3dfde38a90b87297de2c82a5850aff1e4de
- Domínio C2 PodcastsLounge: atsheisdomestic[.]org
- Domínio C2 PDF-Brain: etoftheappyrince[.]org
- Domínio C2 PDF-Ninja: healightejustb[.]org
O que os CISOs devem fazer imediatamente
As organizações devem revisar os logs de instalação de aplicativos em dispositivos macOS e verificar a integridade dos binários. A implementação de soluções de segurança endpoint que monitoram comportamentos anômalos de aplicativos não assinados ou que se comunicam com domínios suspeitos é recomendada. Além disso, a conscientização dos usuários sobre a verificação de fontes de download é crucial.