Gekaapte AppsFlyer SDK gebruikt voor het verspreiden van cryptosteler

In dit artikel:

Aanvallers hebben de web-SDK van analytics- en attributieplatform AppsFlyer misbruikt om malafide JavaScript te verspreiden dat cryptovaluta steelt. De kwaadaardige code werd — naast de legitieme SDK — automatisch geladen op sites en apps die de AppsFlyer Web SDK gebruiken en controleert transacties. Wanneer een gebruiker een walletadres kopieert om te plakken in een betaling, vervangt de malware dat adres in het klembord door een door de aanvaller beheerd adres (clipper-malware), waardoor geld onopgemerkt naar de aanvaller kan gaan.

Gebruikers signaleerden het probleem recent op Reddit; beveiligingsonderzoekers bevestigden dat het om een gekaapt AppsFlyer-domein ging. AppsFlyer meldt dat het op 10 maart een “domain registrar incident” ontdekte waardoor ongeautoriseerde code bij sommige klanten uitvoerde. Het bedrijf geeft weinig details over oorzaak, omvang of welke klanten getroffen zijn, en zegt dat alleen de web-SDK geraakt is — de mobiele SDK zou niet zijn aangetast. Op diezelfde datum werd ook een bereikbaarheidprobleem van het domein op de statuspagina gemeld.

Omdat naar schatting vijftienduizend merken AppsFlyer gebruiken, kan de impact breed zijn voor bezoekers van sites en apps met die SDK. Gebruikers van crypto-services doen er verstandig aan extra te controleren of geplakte adressen kloppen, en waar mogelijk alternatieve verificatiemethoden (bijv. QR-codes, hardware wallets) te gebruiken.