Инциденты в цепочке поставок программного обеспечения продолжают демонстрировать свою разрушительную силу, переходя от серверных сред к самым массовым платформам - веб-браузерам и мобильным приложениям. Новый тревожный пример связан с компрометацией SDK (комплекта средств разработки) от компании AppsFlyer, одного из мировых лидеров в области мобильной аналитики и атрибуции. Внедрение вредоносного кода в столь широко распространённую библиотеку создало угрозу для миллионов пользователей по всему миру, превращая доверенные сайты и приложения в инструмент для хищения криптовалюты.
Описание
В начале марта 2026 года специалисты группы реагирования на инциденты Profero IRT начали расследование по запросам клиентов, связанное с возможной компрометацией SDK AppsFlyer. Этот инструмент интегрируется в тысячи мобильных приложений и веб-сайтов для отслеживания эффективности маркетинга и пользовательской активности. Его глубокий уровень доступа к данным устройств и поведению пользователей делает SDK чрезвычайно привлекательной мишенью для атак на цепочку поставок. Расследование подтвердило худшие опасения: вместо легитимного кода с домена websdk[.]appsflyer[.]com доставлялся обфусцированный JavaScript, контролируемый злоумышленниками. Этот код представлял собой классический криптоджекер для браузеров, чья основная функция - подмена адресов криптовалютных кошельков.
Механизм работы вредоносной нагрузки был отточен для скрытности и эффективности. Внедрённый скрипт не ломал основную функциональность SDK, сохраняя его аналитические возможности, но при этом добавлял скрытые модули. Он перехватывал сетевые запросы и отслеживал действия пользователя на странице, в частности, заполнение форм. При обнаружении адресов криптовалютных кошельков (Bitcoin, Ethereum, Solana, Ripple, TRON) в полях ввода или в передаваемых данных скрипт незаметно подменял их на адреса, контролируемые атакущими. Оригинальные адреса при этом эксфильтрировались на серверы злоумышленников. Такая атака напрямую угрожает финансовым активам пользователей, совершающих транзакции через скомпрометированные сайты или приложения.
Это уже не первый случай, когда имя AppsFlyer фигурирует в контексте проблем безопасности в 2026 году. Ранее, в январе, хакерская группа ShinyHunters заявила о хищении более 10 миллионов записей с платформ для знакомств Match Group (Hinge, Match.com, OkCupid), указав в качестве источника утечки именно AppsFlyer. Компания Match Group подтвердила инцидент, в то время как AppsFlyer свою причастность отрицала. Текущая ситуация с криптоджекером, однако, носит более технически подтверждённый характер. Аналитики Profero обнаружили в ходе прямого анализа вредоносной нагрузки, что она обслуживалась с официального домена SDK, что является ключевым признаком именно атаки на цепочку поставок, а не изолированного взлома.
Инфраструктура атакущих была выстроена с расчётом на живучесть и гибкость. Основные URL, такие как "/v1/api/plugin" и "/v1/api/process", использовались для удалённого управления: первый - для обновления списка адресов-заменителей, второй - для сбора похищенных данных. В самом коде были зашиты резервные адреса кошельков, что обеспечивало работу вредоносной программы даже в случае недоступности управляющего сервера. Это также позволяло злоумышленникам оперативно менять реквизиты, чтобы избегать блокировок со стороны криптобирж и служб мониторинга блокчейна. Наблюдаемые адреса включали кошельки для всех целевых криптовалют, что говорит о подготовке к широкомасштабной кампании.
Потенциальный масштаб инцидента огромен, учитывая портфель клиентов AppsFlyer, в который входят такие гиганты, как TikTok, Netflix, Ubisoft и многие другие глобальные бренды. Под угрозой оказались не только организации, встроившие веб-версию SDK в свои сайты, но и все пользователи, посетившие эти ресурсы в период активности угрозы. Поскольку SDK работает и в мобильных приложениях, риски распространяются и на эту сферу. На данный момент официального подтверждения или подробного отчёта от AppsFlyer не последовало, компания лишь упомянула о "проблеме с доступностью". Это оставляет бизнес и пользователей в неопределённости относительно точных сроков, корневой причины и полных последствий компрометации.
Для специалистов по информационной безопасности данный инцидент служит суровым напоминанием о необходимости постоянного, а не разового аудита доверия к стороннему коду, исполняемому в их средах. Рекомендации по реагированию включают в себя немедленную инвентаризацию всех веб-активов и приложений, использующих AppsFlyer Web SDK. Необходимо провести анализ журналов сетевой активности, DNS-запросов и трафика прокси-серверов на предмет обращений к указанным вредоносным URL на домене appsflyer[.]com. Критически важно проверить, какая именно версия SDK загружалась в период предполагаемой активности (около 9-11 марта 2026 года), и сверить её хэши с известными чистыми версиями. Также следует рассмотреть жалобы пользователей на неудачные или перенаправленные криптовалютные транзакции как потенциальные индикаторы успешной атаки.
В конечном счёте, история с AppsFlyer высвечивает системную уязвимость современной цифровой экосистемы, где концентрация критических функций в руках немногих поставщиков создаёт единые точки отказа колоссального масштаба. Угроза переместилась с уровня операционных систем и серверов на уровень библиотек и служб, невидимо работающих в фоне миллионов устройств. Противодействие таким рискам требует пересмотра модели безопасности, смещающей фокус с периметра на постоянный контроль целостности и поведения всех компонентов, включая сторонние, независимо от степени их распространённости и репутации поставщика.
Индикаторы компрометации
Domains
- websdk.appsflyer.com
URLs
- https://websdk.appsflyer.com/v1/api/plugin
- https://websdk.appsflyer.com/v1/api/process
- https://websdk.appsflyer.com/v1/api/process?rd=
