Tim keamanan siber dari Palo Alto Networks Unit 42 baru-baru ini mengungkap kampanye malvertising yang menargetkan pengguna macOS. Kampanye yang diberi nama Operation FlutterBridge ini menyebarkan backdoor baru bernama FlutterShell melalui iklan Google dan YouTube palsu.
Baca Juga: Kerentanan pada Gemini Voice Assistant Bisa Dieksploitasi Lewat Notifikasi Pesan
Dilansir dari The Hacker News, kampanye ini merupakan tahap lanjutan dari klaster aktivitas yang sebelumnya dilaporkan dengan nama JSCoreRunner (alias FileRipple) pada akhir Agustus 2025. Kelompok penyerang di balik kedua rantai serangan ini dilacak dengan nama CL-CRI-1089 dan diperkirakan aktif sejak tahun 2023.
FlutterShell adalah backdoor yang dibangun menggunakan framework Flutter. Malware ini tidak hanya berfungsi sebagai adware yang menginfeksi melalui aplikasi desktop berbahaya, tetapi juga memiliki kemampuan backdoor yang lengkap. “FlutterShell menginfeksi target dengan adware melalui aplikasi desktop berbahaya,” kata Unit 42. “Selain fungsi adware, payload ini memiliki kemampuan backdoor, termasuk eksekusi perintah shell dan manipulasi sistem file.”
Baca Juga: Situs Palsu Tiruan Tools Open Source Muncul di Google, Sebarkan Malware via TDS
Operasi yang dikaitkan dengan CL-CRI-1089 juga mencakup Recipe Lister dan Calendaromatic, yang semuanya berada di bawah payung kampanye yang lebih luas bernama TamperedChef (alias EvilAI). Kampanye ini menggunakan versi trojan dari perangkat lunak produktivitas untuk mengirimkan program yang berpotensi tidak diinginkan (PUP) dan adware.
Para penyerang mendistribusikan iklan Google dan YouTube berbahaya menggunakan jaringan perusahaan shell yang terverifikasi Google. Iklan-iklan tersebut bertindak sebagai umpan untuk mengelabui target agar menginstal malware yang menyamar sebagai aplikasi desktop sah.
Beberapa perusahaan front yang digunakan antara lain AdsParkPro LTD, Advantage Web Marketing LLC, dan SOFT WE ART LIMITED (sekarang PACIFIC TRADE SOLUTIONS LTD).
Target audiens iklan ini adalah pengguna macOS di Amerika Serikat, Kanada, Australia, Prancis, dan Jerman. Meskipun tidak ada akun Google Ads yang saat ini dapat diakses melalui Pusat Transparansi Google Ads, catatan dari YouControl dan Companies House pemerintah Inggris menunjukkan bahwa semua perusahaan tersebut memiliki keterkaitan dengan individu Ukraina.
Iterasi terbaru dari kampanye ini menyebarkan FlutterShell yang mendukung eksekusi perintah sembarang, interaksi sistem file, dan eksfiltrasi variabel lingkungan. Upaya ini telah terdeteksi hingga Maret 2026.
“Setelah dieksekusi, malware mengubah file konfigurasi Google Chrome untuk membajak browser, memaksa semua lalu lintas melalui situs perantara yang dikendalikan penyerang dan penuh iklan,” jelas peneliti Ido Asher, Noa Dekel, dan Tom Fakterman. “Semua sampel yang diamati ditandatangani dengan Apple Developer ID yang valid dan berhasil melewati notarisasi, artinya pemeriksaan keamanan otomatis Apple tidak menandainya sebagai berbahaya pada saat pengiriman.”
Yang membuat FlutterShell menonjol adalah arsitektur berbasis WebView yang menggunakan jembatan JavaScript-ke-native. Hal ini memungkinkan penyerang menampung logika berbahaya di situs web eksternal, bukan menyematkannya ke dalam biner.
Dengan demikian, perilaku malware dapat diubah secara dinamis secara real-time tanpa perlu mengkompilasi ulang atau mengirimkan versi terbaru ke host yang terkompromi.
Tiga varian FlutterShell telah diidentifikasi: PodcastsLounge, PDF-Brain, dan PDF-Ninja. Kehadiran fungsi yang belum selesai dalam logika JavaScript yang dihosting di infrastruktur penyerang menunjukkan bahwa malware ini kemungkinan masih dalam pengembangan aktif.
Beberapa varian, PDF-Brain dan PDF-Ninja, memiliki kemampuan perangkuman bertenaga AI dengan mengirimkan dokumen melalui server yang dikendalikan penyerang sebelum diproses. FlutterShell juga memungkinkan pengambilan sidik jari sistem dan pencurian data sesi browser.
Baca Juga: Hacker Intai Email Eksekutif Bursa Efek Selama Lima Bulan
Unit 42 mencatat bahwa evolusi dari JSCoreRunner ke FlutterShell menunjukkan peningkatan signifikan dalam kedalaman teknis penyerang di balik CL-CRI-1089. “Skala jaringan distribusi, ditambah dengan entitas shell terverifikasi yang digunakan untuk melewati pemeriksaan jaringan iklan, menyoroti bahaya malvertising yang terus-menerus. Koordinasi beberapa entitas shell dan pengembangan serta pengiriman varian FlutterShell baru dengan cepat menunjukkan bahwa kampanye ini masih jauh dari selesai,” pungkas tim peneliti.
Leave a Comment