近期安全研究發現了一場名為 Operation FlutterBridge 的攻擊行動,其核心威脅是一個名為 FlutterShell 的後門程式。這次攻擊主要針對 macOS 使用者,透過 Google 與 YouTube 的惡意廣告(Malvertising)進行傳播。對於開發者而言,這次攻擊最值得關注的不是其傳播路徑,而是它如何利用現代跨平台框架的特性來隱藏惡意行為。
惡意廣告與信任鏈的崩潰
這次攻擊的起點是 Malvertising,也就是利用合法廣告平台投放惡意內容。攻擊者建立了多家經過 Google 驗證的空殼公司,用來繞過廣告平台的審核機制。當使用者點擊這些看似正常的廣告時,會被誘導下載偽裝成合法桌面應用程式的惡意軟體。
更令人擔憂的是,這些惡意軟體全部都使用了有效的 Apple Developer ID 進行簽署,並且通過了 Apple 的 Notarization(公證機制)。公證機制原本是用來確保 App 在執行前經過 Apple 的自動化掃描且無已知惡意代碼,但 FlutterShell 成功繞過了這一關,這意味著傳統的簽署驗證已不足以完全保證軟體安全。
利用 Flutter 與 JavaScript 橋接實現動態控制
FlutterShell 的技術核心在於它使用了 Flutter 框架以及 WebView-based Architecture(基於 Web 視圖的架構)。
在一般的原生應用程式中,功能邏輯是編譯在二進位檔(Binary)中的。如果攻擊者想要改變軟體行為,必須重新編譯並要求使用者更新版本,這很容易被安全軟體偵測到特徵碼(Signature)的改變。
然而,FlutterShell 採用了 JavaScript-to-native bridge(JavaScript 原生橋接)技術。簡單來說,它在 App 內部嵌入了一個瀏覽器元件(WebView),而真正的惡意邏輯則託管在外部的遠端伺服器上。當 App 執行時,它會透過這個橋接通道,讓遠端的 JavaScript 代碼直接調用 macOS 的原生功能。
這種設計帶來了兩個巨大的優勢:第一,惡意行為在靜態分析時不可見,因為二進位檔本身只是一個殼,真正的攻擊邏輯在雲端。第二,攻擊者可以隨時在後端修改 JavaScript 代碼,即時改變後門的功能,而不需要重新發布 App。
後門的功能與影響
一旦 FlutterShell 成功安裝,它能對系統造成多維度的損害。首先是瀏覽器劫持(Browser Hijacking),它會修改 Google Chrome 的設定檔,將所有流量強制導向攻擊者控制的廣告中間頁。
其次,透過前述的橋接機制,它具備了後門的核心能力,包括執行任意 Shell 指令、操作檔案系統以及竊取環境變數。此外,部分變體(如 PDF-Brain 和 PDF-Ninja)甚至加入了 AI 摘要功能,將使用者的文件上傳到攻擊者伺服器處理,這實際上是以提供 AI 服務為名,行數據竊取之實。
給開發者與維運者的啟示
這起案例顯示,攻擊者正在將現代前端開發技術(如 Flutter 與 WebView)轉化為規避偵測的工具。當我們在評估軟體安全時,不能僅僅依賴於 Apple 的公證或開發者簽署,因為這些機制主要攔截的是已知特徵的惡意代碼,而非這種動態加載邏輯的架構。
對於企業環境,應更加關注異常的網路連線(例如 App 頻繁與未知域名交換 JavaScript 指令)以及對瀏覽器設定檔的非預期修改。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。