Aanvallers zijn erin geslaagd om de AppsFlyer SDK (software development kit) te kapen en vervolgens te gebruiken voor het verspreiden van malware die cryptovaluta steelt. AppsFlyer biedt een analytics- en attributieplatform voor websites en apps. Partijen kunnen de SDK van het platform aan hun websites en apps toevoegen en zo zien waar bezoekers vandaan komen en hun gedrag analyseren. Het moet zo meer inzicht in advertentiecampagnes geven. Volgens AppsFlyer maken vijftienduizend merken gebruik van het platform.
Een aantal dagen geleden rapporteerden gebruikers op Reddit dat een domein van AppsFlyer was gekaapt en door aanvallers werd gebruikt voor het verspreiden van malafide JavaScript die cryptovaluta steelt. De code werd, naast de legitieme SDK-code, automatisch geladen bij het bezoeken van websites die van de SDK gebruikmaken. Eenmaal actief monitort de malafide JavaScript crypto-transacties die een getroffen gebruiker wil uitvoeren, zo melden beveiligingsonderzoekers.
Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. De JavaScript-code kan op dat moment het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. Dit wordt ook wel clipper-malware genoemd.
In een reactie tegenover Bleeping Computer laat AppsFlyer weten dat het op 10 maart een "domain registrar incident" ontdekte waardoor de AppsFlyer Web SDK bij een deel van de klanten ongeautoriseerde code uitvoerde. Verdere details over het incident, zoals hoe het mogelijk was en het aantal getroffen klanten, zijn niet gegeven. De mobiele SDK is volgens het bedrijf niet geraakt. Op 10 maart meldde AppsFlyer via de eigen statuspagina ook een probleem met de bereikbaarheid van het eigen domein, maar wederom ontbreekt verdere informatie.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
