Sajber bezbednosni pejzaž za Apple macOS operativni sistem doživljava krupne i zabrinjavajuće promene. Dugo proračunat kao relativno bezbedna enklava u poređenju sa operativnim sistemom Windows, macOS je postao primarna meta sofisticiranih i finansijski motivisanih sajber kriminalnih grupa. Najnoviji dokaz ove evolucije jeste kampanja kodnog naziva Operation FlutterBridge (Operacija FlutterBridge), koju su otkrili bezbednosni istraživači kompanije Palo Alto Networks (Unit 42). Ova operacija označava prelazak napadača sa distribucije klasičnog advertajzing malvera (adware) na implementaciju visoko sofisticiranih zadnjih vrata (backdoor) pod nazivom FlutterShell.

Ono što ovu kampanju čini posebno opasnom jeste upotreba legitimnog, multiplatformskog razvojnog okruženja Flutter za kreiranje malvera, kao i eksploatacija Google i YouTube oglasnih mreža (malvertising) za masovnu i ciljanu distribuciju zlonamernog softvera direktno korisnicima koji veruju sponzorisanim rezultatima pretrage.

Arhitektura napada i mehanizam infekcije

Napad započinje na globalnim platformama za oglašavanje. Finansijski motivisana pretnja, identifikovana u bezbednosnim krugovima pod oznakom CL-CRI-1089, uspešno manipuliše oglasnim algoritmima kako bi plasirala lažne reklame na pretraživaču Google i video-platformi YouTube. Kada korisnici pretražuju legitimne softverske alate ili produktivne aplikacije, sistem im servira visoko rangirane sponzorisane linkove koji vode ka zlonamernim veb-sajtovima. Ove stranice verno oponašaju zvanične portale popularnih aplikacija.

Distribucija se vrši preko naizgled benignih desktop aplikacija. Tokom istrage, istraživači su identifikovali tri glavne varijante aplikacija koje služe kao paravan za FlutterShell: aplikaciju za podkaste pod nazivom PodcastsLounge, kao i dva PDF čitača/alata pod nazivima PDF-Brain i PDF-Ninja.

Kada neoprezni korisnik preuzme i pokrene aplikaciju, na sceni se aktivira arhitektura razvijena u Flutter framework-u. Flutter, koji je Google-ov open-source alat za kreiranje nativno kompajliranih aplikacija za mobilne uređaje, veb i desktop sa jedinstvenom bazom koda (koristeći programski jezik Dart), pruža napadačima izuzetnu prednost u smislu obfuskacije (prikrivanja koda). S obzirom na to da Flutter kompajlira aplikacije u kompleksne binarne strukture i dinamičke biblioteke (dylibs), tradicionalni antivirusni motori i statički alati za analizu koda teže prepoznaju maliciozne sekvence sakrivene unutar legitimnog izvršnog okruženja.

Zadnja vrata kroz WebView i JavaScript-to-Native most

Najupečatljivija tehnička karakteristika FlutterShell malvera jeste njegova unutrašnja arhitektura zasnovana na WebView komponenti i takozvanom JavaScript-to-native bridge-u (mostu između JavaScript-a i nativnog operativnog sistema). Autori malvera su svesno izbegli hardkodovanje maliciozne logike direktno u binarni fajl aplikacije. Umesto toga, aplikacija funkcioniše kao prilagođeni, skriveni pretraživač.

Nakon inicijalnog pokretanja, FlutterShell primenjuje taktiku odloženog delovanja kako bi zavarao bezbednosne sandbox sisteme koji analiziraju ponašanje aplikacija u realnom vremenu. Malver stupa u kontakt sa komandno-kontrolnim (C2) serverom, od kojeg dobija dinamički kalkulisan vremenski period čekanja. Tek nakon što ovaj period istekne, aplikacija u okviru svoje WebView komponente učitava eksterni veb-sajt pod kontrolom napadača.

Ovaj eksterni sajt sadrži maliciozni JavaScript kod koji, putem pomenutog mosta, komunicira sa nativnim API funkcijama operativnog sistema macOS. To omogućava napadačima da u potpunosti menjaju funkcionalnost i ponašanje malvera u hodu, jednostavnim modifikovanjem koda na svom veb-serveru, bez potrebe za ažuriranjem same aplikacije na inficiranom računaru.

Komandni kapaciteti FlutterShell-a

Iako je primarna fasada malvera usmerena na generisanje neovlašćenih prihoda putem agresivnog prikazivanja oglasa (adware), FlutterShell poseduje pune, destruktivne mogućnosti naprednih zadnjih vrata. Ugrađeni set komandi omogućava udaljenim napadačima izvršavanje sledećih operacija:

Proizvoljno izvršavanje shell komandi: Napadači mogu daljinski pokrenuti bilo koju komandu u terminalu u kontekstu privilegija trenutnog korisnika.

Manipulacija fajl sistemom: Čitanje, pisanje, modifikacija i brisanje datoteka na inficiranom macOS sistemu.

Eksfiltracija podataka: Krađa sistemskih varijabli okruženja (environment variables), koje često sadrže osetljive API ključeve, lozinke i pristupne tokene za klaud servise.

Inovacija kroz veštačku inteligenciju (AI): Posebno sofisticirane varijante FlutterShell malvera detektovane početkom 2026. godine koriste napredne funkcije zasnovane na veštačkoj inteligenciji. Malver presreće dokumente korisnika i preusmerava ih kroz server pod kontrolom napadača radi automatskog sumiranja sadržaja pomoću AI modela, čime se vrši ciljana krađa intelektualne svojine i poverljivih poslovnih informacija.

Širi kontekst pretnje: Veza sa TamperedChef i EvilAI

Istraživanja bezbednosnih agencija pokazuju da Operacija FlutterBridge nije izolovan incident, već deo šireg i kontinualnog šablona delovanja. Aktivnosti grupe povezane sa ovim napadima prate se još od 2023. godine. Ista pretnja stoji iza ranijih kampanja distribucije zlonamernog softvera kao što su Recipe Lister i Calendaromatic. Ove operacije spadaju pod širi krovni naziv poznat kao TamperedChef (alternativno nazvan EvilAI).

Ono što je zajedničko za sve ove kampanje jeste evolucija taktika. Dok su rane verzije bile fokusirane isključivo na prevare sa oglasima i krađu klikova, tekuća tranzicija ka ugradnji moćnih backdoor-ova ukazuje na to da su napadači prepoznali visoku vrednost kompromitovanih macOS sistema, koji se često koriste u korporativnim okruženjima od strane softverskih developera, dizajnera i IT administratora.

Hronološki pregled varijanti (Prva polovina 2026.)

Naziv aplikacije (Paravan)Primarna lažna funkcijaArhitektura i tehnologijaGlavni bezbednosni rizik
PodcastsLoungeSlušanje i organizacija podkastaFlutter, WebView, JS-to-Native BridgeIzvršavanje shell komandi, agresivni adware
PDF-BrainPregled i AI sumiranje PDF-aFlutter, Integrisani AI API preko C2Presretanje i eksfiltracija osetljivih dokumenata
PDF-NinjaNapredna modifikacija PDF fajlovaFlutter, skriveni WebView mehanizamKrađa varijabli okruženja i pristupnih tokena

Preporuke za zaštitu i ublažavanje rizika

S obzirom na to da se FlutterShell uspešno infiltrira preko zvaničnih oglasnih kanala i koristi tehnologije koje otežavaju detekciju, organizacije i individualni korisnici moraju podići nivo budnosti. Preporučuju se sledeće mere zaštite:

Edukacija korisnika o malvertisingu: Korisnici moraju biti svesni da prva mesta na pretraživačima, iako označena kao “Sponzorisano”, ne garantuju bezbednost. Uvek treba direktno pristupiti zvaničnom domenu proizvođača softvera.

Implementacija EDR rešenja: Tradicionalni antivirusni programi više nisu dovoljni. Neophodno je koristiti Endpoint Detection and Response (EDR) sisteme koji prate ponašanje procesa u realnom vremenu i mogu detektovati anomalije, kao što su neovlašćeni pozivi shell komandi iz aplikacija koje su prividno zadužene za PDF ili podkaste.

Restrikcija instalacije softvera: U korporativnim okruženjima preporučuje se striktna primena polisa koje dozvoljavaju instalaciju aplikacija isključivo preko zvaničnog Mac App Store-a ili verifikovanih MDM (Mobile Device Management) sistema.

Mrežni monitoring: Analiza odlaznog saobraćaja ka nepoznatim C2 serverima i detekcija neobičnih WebView konekcija unutar desktop aplikacija može pomoći u ranoj identifikaciji inficiranih hostova.

Zaključak

macOS više definitivno nije bezbedna zona izvan dometa ozbiljnog sajber kriminala. Operacija FlutterBridge demonstrira visok nivo tehničke inovativnosti napadača koji uspešno spajaju moderne razvojne framework-e, napredne tehnike veb-komunikacije i ekonomske modele zasnovane na manipulaciji oglasima kako bi kompromitovali ciljane sisteme širom sveta.

Izvori korišćeni za analizu: Palo Alto Networks Unit 42 (Threat Intelligence Report 2026), The Hacker News, Jamf Threat Labs Research.

Leave a Reply