FlutterShellマルウェアを確認、macOS環境でJavaScriptペイロードを展開

FlutterShellマルウェアを確認、macOS環境でJavaScriptペイロードを展開

新たに確認されたFlutterShellは、macOSを標的とするマルウェアであり、FlutterフレームワークとJavaScriptペイロードを利用する特徴を持つ。研究者らが2025年12月から2026年3月までに収集した10件のMach-Oサンプルを分析した結果、静的バイナリと追加ペイロードを分離した構成が確認された。

調査によると、FlutterShellは攻撃者が管理するC2サーバーとの通信状況に応じて動作を変更する仕組みを備えている。分析では、C2サーバーとの連携が行われていない環境では限定的な挙動を示し、関連する通信が有効になった場合にJavaScriptテンプレートが追加ペイロードとして機能する構成が確認されている。

また、すべてのペイロードに含まれるdylibファイルでは、共通するエクスポートシンボルが確認された。研究者らは、x86_64およびarm64の両アーキテクチャで類似したクラスタリング結果を報告している。

さらに、Dart AOTスナップショットには差異が見られるものの、分析対象のサンプルでは同一のFlutterフレームワークが継続的に利用されていた。FlutterShellはJavaScriptブリッジを介してコマンド処理を実装しており、サンプルごとに構成が変更されるケースも確認されている。

今回の事例は、FlutterベースのmacOS向けマルウェアにおけるペイロード分離構造とJavaScriptベースの実装手法に関する事例として報告されている。

FlutterShellの通信手法と監視ポイント

分析によると、FlutterShellはWebViewとネイティブDartブリッジを利用した構成を採用しており、外部サーバーとの通信機能を備えていることが確認されている。

研究者らは、既知のC2インフラとの通信や、通常の利用形態と異なるプロセスから発生するネットワーク接続などを調査対象として挙げている。また、一部のサンプルではChrome関連のセキュリティ環境属性に対するアクセスや変更を試みる挙動も確認された。

さらに、分析では複数のサンプル間で共通するエクスポートシンボルが確認されているほか、プラグイン名に見られる特徴的な表記も継続して観測されている。研究者らは、こうした共通要素がサンプル間の関連性分析に利用できるとしている。

今回の事例は、FlutterShellにおける通信機能やサンプル間の共通特性を示す事例として報告されており、関連するインフラや実装手法について継続的な分析が進められている。