Cybercriminelen hebben de AppsFlyer Web SDK gekaapt en gebruiken deze nu om malware te verspreiden die cryptovaluta steelt. AppsFlyer levert een analytics- en attributieplatform dat door ongeveer vijftienduizend merken wordt ingezet om bezoekersgedrag en advertentiecampagnes te analyseren. Door de compromittering van een domein van AppsFlyer werd malafide JavaScript-code geladen naast de legitieme SDK-code op websites die van deze SDK gebruikmaken.

De kwaadaardige JavaScript monitort cryptotransacties van gebruikers en manipuleert het walletadres dat in het clipboard staat. Wanneer een gebruiker een cryptotransactie wil uitvoeren en het walletadres plakt, wordt het gekopieerde adres vervangen door een adres van de aanvaller. Dit type malware, ook wel clipper-malware genoemd, zorgt ervoor dat slachtoffers onbedoeld geld overmaken naar de wallet van de aanvaller. AppsFlyer ontdekte het incident op 10 maart, dat zij omschrijven als een "domain registrar incident" waarbij ongeautoriseerde code werd uitgevoerd bij een deel van hun klanten. De mobiele SDK zou niet getroffen zijn. Verdere details over de omvang en oorzaak van het incident zijn niet bekendgemaakt.