O Web SDK da AppsFlyer foi temporariamente comprometido nesta semana por meio de um código malicioso utilizado para roubar criptomoedas em um ataque de supply chain.
O payload tem a capacidade de interceptar endereços de carteiras de criptomoedas inseridos em sites e substituí-los por endereços controlados pelos invasores, desviando assim os fundos para os hackers.
Como o SDK da AppsFlyer é usado por milhares de aplicações para análises de marketing — como engajamento e retenção de usuários —, o impacto atinge um grande número de usuários finais.
Segundo a AppsFlyer, sua plataforma SDK é empregada por 15 mil empresas ao redor do mundo, em mais de 100 mil aplicativos móveis e web.
É uma das principais soluções de mobile measurement partner (MMP), usada para rastrear a atribuição de campanhas de marketing e eventos dentro dos apps.
A suspeita de comprometimento foi identificada por pesquisadores da Profero, que confirmaram “a presença de JavaScript ofuscado controlado pelo atacante, entregue a usuários que visitavam sites e aplicativos que carregavam o SDK da AppsFlyer”.
A AppsFlyer não confirmou nenhum incidente além de uma indisponibilidade do domínio, registrada em sua página de status, em 10 de março de 2026.
Em 9 de março, a Profero descobriu um payload malicioso sendo servido pelo SDK a partir do domínio oficial ‘websdk.appsflyer.com’, também relatado por vários usuários.
“Embora o escopo total, a duração e a causa raiz do incidente ainda não estejam confirmados, essa atividade mostra como atores maliciosos podem explorar a confiança em SDKs de terceiros amplamente usados para afetar sites, apps e usuários finais em cascata”, explica a Profero.
O JavaScript injetado foi desenvolvido para manter o funcionamento normal do SDK.
No entanto, em segundo plano, ele carrega e decodifica strings ofuscadas em tempo de execução e intercepta requisições de rede do navegador.
O malware monitora páginas em busca de atividade de inserção de endereços de carteiras de criptomoedas.
Quando detecta um endereço, substitui-o pelo endereço do atacante, enquanto exfiltra o endereço original e metadados associados.
As carteiras visadas abrangem Bitcoin, Ethereum, Solana, Ripple e TRON, cobrindo grande parte das transações mais comuns em criptomoedas.
Os pesquisadores estimam que a janela de exposição ocorreu entre 9 de março, às 19h45 (horário de Brasília), e 11 de março.
Ainda não está claro se o comprometimento afetou usuários do SDK além desse período.
Diante da incerteza sobre o que exatamente ocorreu e qual o alcance do evento, organizações que usam o SDK devem revisar seus logs de telemetria em busca de requisições suspeitas para websdk.appsflyer.com, considerar o rollback para versões estáveis do SDK e investigar possíveis comprometimentos.
A AppsFlyer já esteve envolvida em outro incidente de segurança neste ano, quando o grupo de cibercriminosos ShinyHunters alegou ter explorado o SDK para realizar uma violação na cadeia de suprimentos da Match Group, roubando mais de 10 milhões de registros de usuários do Hinge, Match.com e OkCupid.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...