На этой неделе Web SDK от AppsFlyer был временно скомпрометирован вредоносным кодом, использовавшимся для кражи криптовалюты в результате атаки на цепочку поставок.
Полезная нагрузка способна перехватывать адреса криптовалютных кошельков, вводимые на веб-сайтах, и заменять их адресами, контролируемыми злоумышленником, для перевода средств в пользу субъекта угрозы.
Поскольку SDK AppsFlyer используется тысячами приложений для маркетинговой аналитики (вовлечение и удержание пользователей), последствия затронули значительное число конечных пользователей.
По данным AppsFlyer, их SDK-платформой пользуются 15 000 компаний по всему миру для более чем 100 000 мобильных и веб-приложений. Это один из ведущих SDK «партнеров по мобильным измерениям» (MMP), используемых для отслеживания атрибуции маркетинговых кампаний и событий внутри приложений.
Предполагаемый инцидент был обнаружен исследователями Profero, которые «подтвердили наличие обфусцированного JavaScript, контролируемого злоумышленником, доставляемого пользователям, посещающим веб-сайты и приложения, которые загружали SDK AppsFlyer».
AppsFlyer не подтвердила никаких инцидентов, кроме проблемы с доступностью домена, опубликованной на их странице состояния 10 марта 2026 года.
9 марта Profero обнаружила вредоносную полезную нагрузку, доставляемую SDK с их официального домена websdk.appsflyer.com, о чем также сообщили несколько пользователей.
«Хотя полный масштаб, продолжительность и первопричина инцидента остаются неподтвержденными, эта активность подчеркивает, как субъекты угроз могут злоупотреблять доверием к широко развернутым сторонним SDK для воздействия на нижестоящие веб-сайты, приложения и конечных пользователей», — объясняет Profero.
Внедренный JavaScript был разработан таким образом, чтобы сохранять нормальную функциональность SDK, но в фоновом режиме он загружал и декодировал обфусцированные строки во время выполнения и перехватывал сетевые запросы браузера.
Вредоносное ПО отслеживает страницы на предмет ввода адресов криптовалютных кошельков. Обнаружив адрес кошелька, оно заменяет его кошельком злоумышленника, одновременно извлекая исходный адрес кошелька и связанную с ним метаданные.
Целевые адреса включают Bitcoin, Ethereum, Solana, Ripple и TRON, что охватывает большую часть основных криптовалютных транзакций.
Исследователи предполагают, что окно воздействия, вероятно, находится между 9 марта, 22:45 UTC, и 11 марта. Неясно, затронуло ли это скомпрометированное состояние пользователей SDK за пределами этого периода.
BleepingComputer связался с AppsFlyer с вопросами о выводах Profero, и представитель подтвердил в заявлении, что несанкционированный код был доставлен через SDK AppsFlyer:
“10 марта AppsFlyer обнаружила и сдержала инцидент с регистратором доменов, который временно подверг Web SDK AppsFlyer, работающий на части клиентских веб-сайтов, воздействию несанкционированного кода.
“Мобильный SDK не пострадал, и наше расследование на данный момент не выявило доказательств доступа к данным клиентов в системах AppsFlyer. Мы относимся к этому инциденту очень серьезно и активно общаемся с клиентами”, — сообщили AppsFlyer в BleepingComputer.
Поставщик заявил, что проблема устранена, и клиенты AppsFlyer получили прямые уведомления и обновления об инциденте.”
“Мобильный SDK оставался безопасным для использования на протяжении всего процесса, и Web SDK безопасен для использования.” – Представитель AppsFlyer
Компания заявила, что расследование продолжается, и они работают с внешними экспертами по криминалистике. Более подробная информация будет предоставлена после завершения расследования.
Учитывая неопределенность относительно того, что именно произошло и каков масштаб инцидента, организациям, развертывающим SDK, следует проанализировать телеметрические журналы на предмет подозрительных API-запросов с websdk.appsflyer.com, понизить версию до известных исправных версий SDK и расследовать потенциальную компрометацию.
Ранее в этом году AppsFlyer также фигурировала в инциденте с кибербезопасностью, когда известная группа угроз ShinyHunters заявила, что использовала SDK для осуществления взлома цепочки поставок в Match Group, похитив более 10 миллионов записей пользователей Hinge, Match.com и OkCupid.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
