De AppsFlyer Web SDK is deze week tijdelijk gehijacked met kwaadaardige code die is ontworpen om cryptocurrency te stelen. De schadelijke payload onderschept walletadressen die gebruikers invoeren op websites en vervangt deze door adressen van aanvallers, waardoor cryptofondsen worden omgeleid naar de dreigingsactor.

De AppsFlyer SDK wordt wereldwijd door ongeveer 15.000 bedrijven gebruikt in meer dan 100.000 mobiele en webapplicaties voor marketinganalyse, zoals het meten van gebruikersbetrokkenheid en retentie. Hierdoor heeft de aanval potentieel impact op een groot aantal eindgebruikers. Onderzoekers van Profero ontdekten de vermoedelijke compromittering en bevestigden dat er obfuscated, door aanvallers gecontroleerde JavaScript-code werd geladen op websites en applicaties die de AppsFlyer SDK gebruikten.

AppsFlyer meldde op 10 maart 2026 een probleem met de beschikbaarheid van een domein, maar bevestigde geen verdere incidenten. Op 9 maart ontdekte Profero een kwaadaardige payload die via het officiële domein 'websdk.appsflyer.com' werd verspreid, wat ook door meerdere gebruikers werd gerapporteerd. De geïnjecteerde JavaScript-code bleef de normale functionaliteit van de SDK behouden, maar laadde op de achtergrond obfuscated strings en onderschepte netwerkverzoeken in de browser. Het malware monitort invoer van cryptocurrency-walletadressen en vervangt deze door adressen van de aanvaller, terwijl het originele adres en metadata worden uitgelezen.

De aanval richtte zich op walletadressen van onder andere Bitcoin, Ethereum, Solana, Ripple en TRON, wat een groot deel van de gangbare cryptotransacties omvat. De blootstellingsperiode wordt geschat tussen 9 maart 22:45 UTC en 11 maart, maar het is onduidelijk of de compromittering daarna nog doorliep. AppsFlyer bevestigde dat alleen de web SDK was getroffen en dat de mobiele SDK niet is aangetast. Er is geen bewijs gevonden dat klantgegevens op AppsFlyer-systemen zijn ingezien. Het incident is inmiddels opgelost en klanten zijn geïnformeerd. De onderzoek naar de oorzaak loopt nog en wordt ondersteund door externe forensische experts.

Organisaties die de SDK gebruiken wordt geadviseerd om telemetrylogs te controleren op verdachte API-verzoeken van 'websdk.appsflyer.com', terug te keren naar een veilige SDK-versie en mogelijke compromittering te onderzoeken. Eerder dit jaar was AppsFlyer ook betrokken bij een supply chain-incident waarbij de dreigingsgroep ShinyHunters de SDK gebruikte om toegang te krijgen tot systemen van Match Group en meer dan 10 miljoen gebruikersrecords te stelen.