Profero entdeckte am 9. März eine schädliche Nutzlast, die das SDK von seiner offiziellen Domain ‘websdk.appsflyer.com’ auslieferte – ein Befund, der auch von mehreren Nutzern gemeldet wurde. Laut den Forschern bleiben der genaue Umfang, die Dauer und die Ursache des Vorfalls unbestätigt. Die Aktivität zeige jedoch, wie Angreifer das Vertrauen in weit verbreitete Drittanbieter-SDKs ausnutzen können, um nachgelagerte Websites, Anwendungen und Endnutzer zu treffen.

Das eingeschleuste JavaScript war so gestaltet, dass die normale Funktion des SDK erhalten blieb. Im Hintergrund lud und entschlüsselte es zur Laufzeit verschleierte Zeichenketten und klinkte sich in die Netzwerkanfragen des Browsers ein. Die Schadsoftware überwachte Seiten auf die Eingabe von Krypto-Wallet-Adressen: Wurde eine Adresse erkannt, ersetzte sie diese durch die Wallet des Angreifers und schleuste zugleich die ursprüngliche Adresse samt zugehöriger Metadaten aus.

Zu den anvisierten Adressen zählten laut Profero Bitcoin, Ethereum, Solana, Ripple und TRON, womit ein großer Teil gängiger Kryptowährungstransaktionen abgedeckt ist. Das Zeitfenster der Exposition liegt nach Einschätzung der Forscher wahrscheinlich zwischen dem 9. März, 22:45 UTC, und dem 11. März. Ob die Kompromittierung darüber hinaus Auswirkungen auf SDK-Nutzer hatte, ist unklar.

Auf Anfrage von BleepingComputer bestätigte ein Sprecher von AppsFlyer, dass über das SDK nicht autorisierter Code ausgeliefert wurde. AppsFlyer habe am 10. März einen Vorfall bei einem Domain-Registrar erkannt und eingedämmt, der das auf einem Teil der Kundenwebsites laufende AppsFlyer Web SDK vorübergehend nicht autorisiertem Code ausgesetzt habe. Das mobile SDK sei nicht betroffen gewesen, und die bisherigen Untersuchungen hätten keine Hinweise darauf ergeben, dass auf Kundendaten in AppsFlyer-Systemen zugegriffen wurde. Auf der Statusseite des Anbieters war am 10. März 2026 lediglich ein Problem mit der Verfügbarkeit einer Domain veröffentlicht worden.

Das Unternehmen erklärte, das Problem sei behoben, Kunden seien direkt informiert worden, und sowohl das mobile als auch das Web SDK seien sicher nutzbar. Die Untersuchung dauere an und werde gemeinsam mit externen forensischen Experten geführt; weitere Informationen sollen nach deren Abschluss folgen.

Profero empfiehlt Organisationen, die das SDK einsetzen, ihre Telemetrieprotokolle auf verdächtige API-Anfragen von ‘websdk.appsflyer.com’ zu prüfen, auf bekannte unbedenkliche SDK-Versionen zurückzuwechseln und eine mögliche Kompromittierung zu untersuchen. AppsFlyer war bereits zuvor in diesem Jahr in einen Sicherheitsvorfall verwickelt: Die Gruppe ShinyHunters behauptete, das SDK genutzt zu haben, um einen Supply-Chain-Einbruch bei Match Group zu erreichen und dabei über 10 Millionen Datensätze von Nutzern der Dienste Hinge, Match.com und OkCupid zu stehlen.