La puerta trasera FlutterShell eludió con éxito la revisión de Apple y hasta consiguió un certificado de seguridad.
¿Son fiables los programas instalados recientemente?
Los atacantes han encontrado una nueva forma de infiltrarse en los ordenadores de usuarios de macOS, disfrazando el malware como aplicaciones aparentemente inocuas. Detrás de la interfaz atractiva de programas para escuchar podcasts y trabajar con archivos PDF se oculta una herramienta que no solo muestra publicidad, sino que también da a los hackers acceso remoto al sistema.
Sobre la nueva campaña maliciosa conocida como Operation FlutterBridge, informaron especialistas de Palo Alto Networks. Según sus datos, detrás está el grupo delictivo cibernético CL-CRI-1089, vinculado anteriormente con JSCoreRunner. Los atacantes promocionan las aplicaciones PodcastsLounge, PDF-Brain y PDF-Ninja mediante cientos de anuncios en Google, y para eludir las comprobaciones usan cuentas publicitarias verificadas de empresas con indicios de sociedades pantalla, incluidas AdsParkPro LTD y Advantage Web Marketing LLC.
Las aplicaciones parecen legítimas y realmente realizan las funciones anunciadas. PodcastsLounge funciona como reproductor de podcasts, y PDF-Brain y PDF-Ninja abren archivos PDF. La confianza adicional la proporcionan certificados válidos de Apple Developer ID y una verificación automática exitosa de Apple. Al momento del análisis, algunas muestras no eran detectadas por los antivirus en VirusTotal.
El principal riesgo de FlutterShell está relacionado con su arquitectura. El programa malicioso no se almacena directamente en la aplicación, sino que se carga desde el servidor de los atacantes a través de WebView. Gracias a este enfoque, los operadores pueden cambiar el comportamiento del programa sin publicar una nueva versión. Los comandos integrados permiten ejecutar comandos de shell, leer y modificar archivos, examinar directorios y recopilar variables de entorno.
Con más frecuencia, FlutterShell se usa para interceptar el funcionamiento de Google Chrome. El programa cambia la configuración de búsqueda y de la nueva pestaña, tras lo cual redirige el tráfico a través de un sitio publicitario controlado. En las versiones PDF-Brain y PDF-Ninja hay otra función peligrosa: un resumen integrado de documentos mediante IA envía primero el contenido de los archivos al servidor de los atacantes y luego para su procesamiento. Así los usuarios obtienen un resumen, y los atacantes pueden apropiarse de copias de los documentos.
Según Palo Alto Networks, la actividad de FlutterBridge se mantiene al menos desde finales de 2025 y se registró en 2026. Los autores del informe esperan nuevas versiones de FlutterShell y consideran que un esquema similar podría aparecer en campañas contra macOS y Windows.
Incluso las aplicaciones habituales es mejor descargarlas solo desde los sitios oficiales y comprobar con atención qué permisos solicitan tras la instalación. Confiar en la publicidad, en una interfaz atractiva y en la firma del desarrollador ya no garantiza la seguridad.