Hackers norte-coreanos criam apps em Flutter para contornar segurança do macOS · NewsletterOficial

Os indivíduos desenvolveram aplicativos com trojans embutidos para macOS que simulam funções inofensivas, como blocos de notas ou jogos de campo minado, mas que são projetados para burlar a segurança do sistema. Esses aplicativos foram assinados e notarizados com um ID de desenvolvedor legítimo da Apple, permitindo que temporariamente passassem pelos controles de segurança e fossem executados sem restrições no macOS. Com nomes que remetem a temas de moedas digitais, os apps foram descritos pela empresa de segurança que os descobriu como uma possível tentativa experimental de invasão, e não uma operação completamente desenvolvida.

Os aplicativos foram desenvolvidos usando o Flutter, o framework do Google que permite a criação de apps nativos para diferentes sistemas operacionais a partir de um único código em Dart. Embora não seja raro que hackers usem Flutter para inserir malware, este é o primeiro caso conhecido voltado para dispositivos macOS. Essa técnica oferece aos autores de malware uma grande versatilidade, além de dificultar a detecção, já que o código malicioso está oculto em uma biblioteca dinâmica (dylib), carregada em tempo de execução pelo Flutter.

A análise de um dos aplicativos revelou que o dylib ofuscado suporta a execução de AppleScript, permitindo que scripts sejam executados a partir de um servidor de comando e controle (C2). Foram identificadas ainda variações desenvolvidas em Golang e Python, configuradas para realizar requisições de rede a um domínio vinculado à Coreia do Norte e equipadas com recursos para execução de scripts.

A Apple já revogou as assinaturas desses aplicativos, impedindo que sejam executados em sistemas macOS atualizados e protegidos pelo Gatekeeper. Até o momento, não está claro se esses apps foram utilizados em operações reais ou se serviram como testes em ambiente real para avaliar técnicas de evasão de segurança. A existência de múltiplas variantes desses aplicativos reforça essa hipótese experimental, mas os detalhes específicos da operação ainda são desconhecidos.