AppsFlyer Web SDK Diretas, Kode JavaScript Berbahaya Curi Cryptocurrency Pengguna
Platform analitik pemasaran AppsFlyer Web SDK dilaporkan sempat disusupi kode berbahaya yang digunakan untuk mencuri cryptocurrency dalam sebuah serangan supply chain. Serangan ini memungkinkan pelaku memodifikasi alamat dompet kripto yang dimasukkan pengguna di situs web sehingga dana dialihkan ke dompet milik penyerang.
Insiden ini berpotensi berdampak luas karena AppsFlyer Web SDK digunakan oleh ribuan aplikasi dan situs web untuk mengelola analitik pemasaran serta pelacakan aktivitas pengguna.
Digunakan oleh Ribuan Aplikasi
AppsFlyer merupakan salah satu penyedia Mobile Measurement Partner (MMP) terbesar yang digunakan untuk melacak efektivitas kampanye pemasaran digital dan aktivitas dalam aplikasi.
Perusahaan tersebut menyatakan bahwa platformnya digunakan oleh sekitar 15.000 perusahaan di seluruh dunia, mencakup lebih dari 100.000 aplikasi mobile dan web.
Dengan skala penggunaan yang luas, kompromi pada SDK semacam ini dapat memengaruhi banyak layanan sekaligus karena integrasinya berada pada sisi aplikasi pihak ketiga.
Penemuan Kode Berbahaya
Serangan ini pertama kali diungkap oleh peneliti keamanan dari Profero yang menemukan adanya JavaScript berbahaya yang disamarkan (obfuscated) dan dikirimkan kepada pengguna melalui domain resmi SDK.
Kode tersebut ditemukan pada websdk.appsflyer.com, yang merupakan domain resmi distribusi AppsFlyer Web SDK.
Peneliti menyebutkan bahwa skrip berbahaya tersebut tetap mempertahankan fungsi normal SDK agar tidak menimbulkan kecurigaan, namun secara diam-diam menjalankan aktivitas tambahan di latar belakang.
Cara Kerja Malware
Kode berbahaya tersebut bekerja dengan memantau aktivitas pengguna pada halaman web, khususnya ketika pengguna memasukkan alamat dompet cryptocurrency.
Ketika alamat dompet terdeteksi, skrip tersebut akan:
- Mengganti alamat dompet yang dimasukkan pengguna dengan alamat milik penyerang
- Mengirimkan alamat dompet asli korban beserta metadata terkait ke server pelaku
Dengan metode ini, transaksi kripto yang dilakukan pengguna dapat secara otomatis dialihkan ke dompet milik penyerang tanpa disadari korban.
Jenis cryptocurrency yang menjadi target meliputi:
- Bitcoin
- Ethereum
- Solana
- Ripple
- TRON
Kelima aset tersebut termasuk yang paling umum digunakan dalam transaksi kripto.
Periode Paparan Diduga Dua Hari
Berdasarkan analisis peneliti, jendela waktu paparan kemungkinan terjadi antara 9 Maret pukul 22:45 UTC hingga 11 Maret.
Namun hingga saat ini belum dapat dipastikan apakah dampak serangan tersebut meluas di luar periode tersebut.
AppsFlyer sebelumnya mencatat adanya gangguan terkait domain registrar pada 10 Maret 2026 yang sempat memengaruhi ketersediaan layanan.
Konfirmasi dari AppsFlyer
AppsFlyer kemudian mengonfirmasi bahwa insiden tersebut memang menyebabkan kode tidak sah dikirimkan melalui Web SDK kepada sebagian situs pelanggan.
Perusahaan menyatakan bahwa insiden tersebut telah berhasil ditangani dan layanan kini telah kembali normal.
AppsFlyer juga menegaskan bahwa Mobile SDK mereka tidak terdampak oleh insiden tersebut dan tidak ditemukan bukti bahwa data pelanggan yang tersimpan pada sistem AppsFlyer berhasil diakses oleh pihak tidak berwenang.
Selain itu, perusahaan telah memberikan pemberitahuan langsung kepada pelanggan serta melakukan komunikasi aktif terkait perkembangan insiden.
Investigasi masih terus berlangsung dengan melibatkan pakar forensik eksternal untuk memastikan penyebab utama dan cakupan dampak serangan.
Rekomendasi untuk Pengembang
Karena masih terdapat ketidakpastian terkait cakupan insiden, organisasi yang menggunakan AppsFlyer Web SDK disarankan untuk melakukan langkah-langkah pencegahan.
Langkah tersebut antara lain memeriksa log telemetri untuk mendeteksi permintaan API yang mencurigakan dari domain SDK, menggunakan versi SDK yang diketahui aman, serta melakukan investigasi tambahan untuk memastikan tidak ada kompromi pada aplikasi mereka.
Insiden ini juga bukan yang pertama kali melibatkan AppsFlyer. Pada awal tahun 2026, kelompok peretas ShinyHunters mengklaim menggunakan SDK yang sama dalam serangan supply chain terhadap Match Group yang menyebabkan pencurian lebih dari 10 juta data pengguna dari layanan seperti Hinge, Match.com, dan OkCupid.
