FlutterShell Backdoor Spreads to macOS via Malicious Google and YouTube Ads

1 minute de lecture

Mis à jour : June 04, 2026

Propagation du backdoor FlutterShell via du malvertising sur macOS

Le groupe cybercriminel CL-CRI-1089 déploie activement le backdoor FlutterShell via des campagnes de publicité malveillantes (malvertising) sur Google et YouTube. Ce malware cible principalement les utilisateurs de macOS dans plusieurs pays occidentaux en se faisant passer pour des applications de productivité légitimes.

Points clés :

Architecture technique : Développé avec le framework Flutter, le malware utilise une architecture basée sur un composant WebView. Il intègre un pont entre JavaScript et le code natif, permettant aux attaquants de modifier les fonctionnalités du logiciel en temps réel depuis un serveur distant sans avoir à recompiler le binaire.
Fonctionnalités malveillantes : Exécution de commandes arbitraires, interaction avec le système de fichiers, exfiltration de variables d’environnement, vol de données de session de navigation et détournement du trafic Google Chrome vers des sites publicitaires.
Apparence de légitimité : Les échantillons sont signés avec des identifiants de développeur Apple valides et ont passé avec succès le processus de notarisation d’Apple.
Développement actif : Plusieurs variantes ont été identifiées (PodcastsLounge, PDF-Brain, PDF-Ninja), certaines utilisant des serveurs externes pour des fonctions de résumé de documents propulsées par IA.

Vulnérabilités :

Aucune CVE spécifique n’est mentionnée, car la menace repose sur l’abus de processus légitimes (signature Apple valide) et l’utilisation de publicités trompeuses plutôt que sur l’exploitation d’une faille logicielle particulière.

Recommandations :

Vigilance publicitaire : Faire preuve d’une grande prudence lors du téléchargement d’applications promues via des publicités sur Google ou YouTube, même si le site semble professionnel.
Vérification des sources : Privilégier le téléchargement de logiciels directement depuis les sites officiels des éditeurs ou le Mac App Store, en évitant les liens sponsorisés suspects.
Surveillance système : Être attentif aux comportements inhabituels du navigateur (ex: redirections forcées vers des sites publicitaires) ou à l’installation inopinée d’applications de productivité inconnues.
Veille : Maintenir les solutions de sécurité à jour pour détecter les logiciels publicitaires (adware) et les comportements suspects liés aux processus WebView.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

FlutterShell Backdoor Spreads to macOS via Malicious Google and YouTube Ads

Propagation du backdoor FlutterShell via du malvertising sur macOS

Partager sur

Vous pourriez aimer

WhatsApp, Slack Notifications Could Hijack Google Gemini on Android

Exploitation par injection de prompt via les notifications Android sur Google Gemini

U.S. sanctions Nobitex crypto exchange used by Iranian ransomware actors

Sanctions américaines contre les plateformes crypto iraniennes impliquées dans le ransomware

UN food agency discloses breach affecting 600,000 Gaza households

Cyberattaque contre le Programme Alimentaire Mondial à Gaza

ThreatsDay Bulletin: AI Agents Gone Wrong, Sketchy C2 Tools, ClickFix Tricks, JS Backdoors & 20+ New Stories

État des menaces : prolifération des tactiques d’ingénierie sociale et automatisation des attaques