O Web SDK da AppsFlyer foi temporariamente comprometido esta semana num ataque à cadeia de abastecimento, permitindo a piratas informáticos a injeção de código desenhado para desviar fundos em criptomoedas. A vulnerabilidade afeta os visitantes ao intercetar endereços de carteiras digitais inseridos em páginas web e substituindo-os pelos endereços controlados pelos atacantes.
Segundo a análise publicada pela Profero, os investigadores confirmaram a presença de JavaScript ofuscado que era entregue aos utilizadores que visitavam sites e aplicações integradas com o SDK da empresa.
O impacto da injeção de código malicioso
A plataforma da AppsFlyer é amplamente utilizada no mercado de análise de marketing, marcando presença em 15.000 empresas e em mais de 100.000 aplicações móveis e web para acompanhar o envolvimento dos utilizadores. Devido a esta forte adoção global, o impacto da falha estende-se a um número altamente significativo de consumidores finais.
O código injetado foi criado para manter o funcionamento normal do SDK intacto, mas, em segundo plano, carrega cadeias ofuscadas e interceta os pedidos de rede do navegador. A página é constantemente monitorizada em busca de introdução de carteiras de criptomoedas. Quando deteta um endereço, este malware substitui a informação original pela carteira do atacante, extraindo simultaneamente os metadados associados. Os alvos da operação incluem transações nas redes Bitcoin, Ethereum, Solana, Ripple e TRON.
Resposta da empresa e histórico recente
A janela de exposição à ameaça ocorreu possivelmente entre as 22:45 UTC de 9 de março e 11 de março. A AppsFlyer confirmou ter detetado e contido um incidente no registo do seu domínio a 10 de março de 2026, o qual expôs temporariamente uma parte dos sites de clientes a código não autorizado.
Um porta-voz da empresa assegurou que o SDK móvel nunca foi afetado e que a investigação atual não encontrou indícios de que os dados dos clientes nos sistemas da AppsFlyer tenham sido acedidos. A marca sublinha que o problema se encontra totalmente resolvido, sendo agora seguro utilizar a versão web do SDK, e que está a colaborar com peritos forenses externos para apurar os restantes detalhes.
Este acontecimento surge após o grupo de ameaças ShinyHunters ter alegado, no início deste ano, o uso do mesmo SDK para concretizar uma invasão à cadeia de abastecimento do Match Group. Esse incidente anterior terá resultado no roubo de mais de 10 milhões de registos de utilizadores de plataformas como o Match.com, Hinge e OkCupid. Face à incerteza sobre a dimensão total do ataque atual, as organizações que utilizam a ferramenta são aconselhadas a rever a sua telemetria em busca de atividade suspeita e a garantir a utilização de versões seguras do SDK.
Nenhum comentário
Seja o primeiro!