SchwachstellenMalwareCyberkriminalität

AppsFlyer Web SDK gehackt: Kryptowährungen durch Supply-Chain-Angriff gefährdet

AppsFlyer Web SDK gehackt: Kryptowährungen durch Supply-Chain-Angriff gefährdet
Zusammenfassung

Das Marketing-Analytics-Tool AppsFlyer ist diese Woche Ziel eines Supply-Chain-Angriffs geworden, bei dem Cyberkriminelle bösartigen JavaScript-Code in das weit verbreitete Web SDK einschleusten. Das AppsFlyer SDK wird von etwa 15.000 Unternehmen weltweit in über 100.000 mobilen und Web-Anwendungen eingesetzt, um Nutzerengagement und Kampagnen-Attribution zu verfolgen. Die injizierte Malware war speziell darauf ausgerichtet, Kryptowährungsadressen abzufangen, die Nutzer in Websites eingeben, und diese durch Adressen der Angreifer zu ersetzen – ein raffinierter Betrug, der Bitcoin, Ethereum, Solana, Ripple und TRON ins Visier nahm. Das Sicherheitsunternehmen Profero entdeckte den Angriff am 9. März und konnte obfuskierten, attacker-kontrollierten Code nachweisen, der über die offizielle Domain websdk.appsflyer.com ausgeliefert wurde. Obwohl AppsFlyer das Incident inzwischen als behoben erklärt und von einem Registrar-Problem spricht, bleibt das genaue Ausmaß unklar. Für deutsche Unternehmen und Nutzer, die AppsFlyer-integrierte Dienste nutzen, bedeutet dies ein erhebliches Risiko: Potenzielle Finanzverluste durch manipulierte Kryptotransaktionen und die Notwendigkeit, ihre Systeme auf verdächtige Aktivitäten zu überprüfen.

Der Angriff auf AppsFlyer zeigt ein klassisches Supply-Chain-Sicherheitsszenario: Cyberkriminelle kompromittierten nicht das Endprodukt, sondern eine zentrale Komponente in der digitalen Lieferkette. Das AppsFlyer Web SDK wird als „Mobile Measurement Partner” (MMP) von tausenden Websites und Anwendungen eingebunden, um Marketingkampagnen zu verfolgen und Nutzerengagement zu messen.

Die injizierte Malware war ausgefuchst konstruiert. Sie bewahrte die normalen SDK-Funktionen, operierte aber im Hintergrund. Der Code überwachte kontinuierlich Benutzereingaben auf Kryptowallet-Adressen und ersetzte diese durch Adressen der Angreifer. Betroffen waren führende Kryptowährungen wie Bitcoin, Ethereum, Solana, Ripple und TRON. Gleichzeitig exfiltrierte der Code die ursprünglichen Wallet-Adressen und zugehörige Metadaten an die Täter.

Profero-Forscher entdeckten die Kompromittierung durch das Laden von obfuskiertem, vom Angreifer kontrolliertem JavaScript von der offiziellen Domain “websdk.appsflyer.com”. Der Expositionszeitraum wird auf den 9. März (22:45 UTC) bis 11. März 2026 eingegrenzt, doch bleibt unklar, ob der Angriff darüber hinaus andauerte.

AppsFlyer reagierte vergleichsweise schnell: Das Unternehmen bestätigte, dass es einen Domain-Registrar-Vorfall am 10. März erkannt und eingedämmt habe. Der mobile SDK-Bereich war nicht betroffen, und bisherige Untersuchungen zeigen keine Hinweise auf einen Zugriff auf Kundendaten innerhalb von AppsFlyer-Systemen. Das Unternehmen arbeitet mit externen Forensik-Experten und verspricht weitere Informationen nach Abschluss der Untersuchung.

Deutsche Organisationen sollten nun handeln: Sie sollten ihre Telemetrie-Logs auf verdächtige API-Anfragen von websdk.appsflyer.com prüfen, zu bekannten guten SDK-Versionen downgraden und potenziell betroffene Systeme untersuchen.

Dies ist nicht das erste Mal, dass AppsFlyer in einen Sicherheitsvorfall verwickelt ist. Anfang 2026 nutzte die Hackergruppe ShinyHunters das SDK, um Match Group zu kompromittieren und über 10 Millionen Datensätze von Hinge, Match.com und OkCupid zu stehlen. Dieser erneute Vorfall unterstreicht die wachsende Attackenfläche durch zentrale Drittanbieter-Komponenten.

Ähnliche Artikel