FlutterShell: Neue macOS-Malware umgeht Sicherheitslösungen
23.06.2026 - 11:56:21 | boerse-global.de
Die als FlutterShell getaufte Malware nutzt das populäre Flutter-Framework, um Browsersuchen zu manipulieren – und bleibt dabei unter dem Radar herkömmlicher Sicherheitslösungen.
Die als Operation FlutterBridge (interner Code: CL-CRI-1089) bezeichnete Kampagne war zwischen Dezember 2025 und März 2026 aktiv. Sie demonstriert eine neue Qualität an Persistenzmechanismen, die Sicherheitsexperten alarmieren.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Ratgeber für Cyber-Security jetzt kostenlos anfordern
Raffinierte Doppelstruktur
FlutterShell setzt auf eine ausgeklügelte Architektur, um unentdeckt zu bleiben. Der erste Infektionsschritt erfolgt über einen schlanken Mach-O-Stub – eine Art digitaler Türöffner. Dieser lädt anschließend eine dynamische Dart-Runtime nach, die den eigentlichen Schadcode enthält.
Die Kommunikation zwischen dem kompromittierten Browser und dem System läuft über die WKWebView-Komponente und eine spezialisierte JavaScript-Brücke mit dem Namen „FlutterInvoke". Sicherheitsanalysten, die zehn Mach-O-Exemplare statisch untersuchten, stellten fest: Die Tarnung als legitime Flutter-Anwendung macht die Malware für signaturbasierte Erkennung nahezu unsichtbar.
Sandbox-Tricks: Schadcode schläft, bis er gebraucht wird
Besonders raffiniert ist die Sandbox-Umgehung der Schadsoftware. FlutterShell liefert JavaScript-Payloads direkt von einem Command-and-Control-Server (C2) aus – aber nur unter bestimmten Bedingungen. Erkennt die Malware, dass sie in einer isolierten Testumgebung ohne Internetzugang läuft, bleibt sie einfach inaktiv.
„Das ist ein Paradigmenwechsel bei macOS-Bedrohungen", erklären Sicherheitsexperten. Die C2-abhängige Ausführung macht es automatischen Analysewerkzeugen schwer, den Schadcode überhaupt zu aktivieren und zu untersuchen.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber-Security-Report herunterladen
Von Flutter bis zur Umsatzmaschine
In späteren Phasen der Kampagne setzen die Angreifer auf selbstsignierte Binärdateien und eine rotierende C2-Infrastruktur. Das Ziel: Browser-Suchanfragen umzuleiten und durch manipulierte Weiterleitungen Werbeeinnahmen zu generieren.
Ein kurioses Detail fiel den Forschern auf: Über verschiedene Versionen der Malware hinweg fand sich stets derselbe wiederkehrende Tippfehler im Code – ein forensischer Fingerabdruck, der die Entwickler verraten könnte.
Neue Ära der macOS-Bedrohungen
Die Nutzung legitimer Entwickler-Frameworks wie Flutter zur Tarnung von Schadcode ist ein wachsender Trend. Für macOS-Nutzer bedeutet das: Selbst vertrauenswürdig aussehende Anwendungen können im Zweifel bösartige Komponenten enthalten. Sicherheitsexperten raten zur Vorsicht bei der Installation von Software aus nicht verifizierten Quellen und empfehlen regelmäßige Updates der Sicherheitssoftware.
