Auf den Punkt: Eine seit 2023 aktive Gruppe verbreitet über Google-verifizierte Scheinfirmen die macOS-Backdoor FlutterShell, die mit gültigen Apple-IDs signiert ist und sich in Echtzeit ferngesteuert verhalten lässt.
Sicherheitsforscher von Palo Alto Networks haben die Kampagne Operation FlutterBridge aufgedeckt, die über gefälschte Google- und YouTube-Anzeigen eine neue Backdoor namens FlutterShell auf macOS-Systemen verbreitet. Die dahinterstehende Gruppe CL-CRI-1089 nutzt Google-verifizierte Scheinfirmen, um ihre Anzeigen zu platzieren.
Die Attacken richten sich gezielt auf macOS-Benutzer in den USA, Kanada, Australien, Frankreich und Deutschland. Die kriminelle Gruppe setzt dabei auf Malvertising: Sie registrierte mehrere Scheinfirmen wie AdsParkPro LTD, Advantage Web Marketing LLC und SOFT WE ART LIMITED (später PACIFIC TRADE SOLUTIONS LTD), die von Google als legitim verifiziert wurden. Laut Unternehmensregistrierungen in Großbritannien und der Ukraine bestehen Verbindungen zu ukrainischen Bürgern. Die Gruppe ist dem Bericht zufolge seit mindestens 2023 aktiv und hatte bereits im August 2025 unter den Namen JSCoreRunner und FileRipple Kampagnen durchgeführt.
FlutterShell kombiniert Funktionen einer Adware mit einer vollwertigen Backdoor. Das mit Googles Flutter-Framework programmierte Schadprogramm kann beliebige Shell-Befehle ausführen, mit dem Dateisystem interagieren und Umgebungsvariablen auslesen. Nach der Ausführung modifiziert es die Chrome-Konfiguration und leitet den kompletten Browser-Datenverkehr über eine vom Angreifer kontrollierte Werbeplattform um. Alle entdeckten Varianten trugen gültige Apple-Entwickler-IDs und durchliefen Apples automatisierte Notarisierungsprüfung erfolgreich.
Das Schadprogramm nutzt eine WebView-basierte Architektur, die JavaScript mit nativen Systemfunktionen verbindet. Dies ermöglicht es den Betreibern, die Schadlogik auf externen Servern zu hosten und so das Malware-Verhalten in Echtzeit zu ändern, ohne die Software neu zu kompilieren oder Updates auf den befallenen Rechnern auszuspielen. Sicherheitsforscher von Unit 42 identifizierten bislang drei Varianten: PodcastsLounge, PDF-Brain und PDF-Ninja.
Quelle: www.it-daily.net · Erschienen 8. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.