Шпигунське програмне забезпечення «Landfall» використовувало атаки нульового дня для злому телефонів Samsung Galaxy
Дослідники безпеки виявили шпигунське програмне забезпечення для Android, яке було спрямоване на телефони Samsung Galaxy під час майже річної хакерської кампанії.
Дослідники з підрозділу 42 мережі Palo Alto Networks заявили, що шпигунське програмне забезпечення, яке вони називають «Landfall», було вперше виявлено в липні 2024 року та використовувало недолік безпеки в програмному забезпеченні телефону Galaxy, про який Samsung на той час не знала, – тип вразливості, відомий як вразливість нульового дня .
У підрозділі Unit 42 заявили, що цим недоліком можна було зловживати, надсилаючи шкідливо створене зображення на телефон жертви, ймовірно, через додаток для обміну повідомленнями, і що атаки могли не вимагати жодної взаємодії з боку жертви.
Samsung виправив недолік безпеки, який відстежувався як CVE-2025-21042, у квітні 2025 року, але деталі кампанії шпигунського програмного забезпечення, яка зловживала цим недоліком, раніше не повідомлялися.
Дослідники у своєму блозі зазначили , що невідомо, який постачальник програмного забезпечення для спостереження розробив шпигунське програмне забезпечення Landfall, а також невідомо, скільки людей стало мішенню в рамках кампанії. Але дослідники зазначили, що атаки, ймовірно, були спрямовані на осіб на Близькому Сході.
Ітай Коен, старший головний дослідник Unit 42, розповів TechCrunch, що хакерська кампанія складалася з «прецизійної атаки» на конкретних осіб, а не з масово розповсюдженого шкідливого програмного забезпечення, що вказує на те, що атаки, ймовірно, були здійснені зі шпигунством.
Підрозділ 42 виявив, що шпигунське програмне забезпечення Landfall використовує спільну цифрову інфраструктуру, що дублюється, що використовується відомим постачальником систем спостереження під назвою Stealth Falcon , який раніше був помічений у шпигунських атаках на журналістів, активістів та дисидентів з Еміратів ще у 2012 році. Але дослідники заявили, що зв'язки зі Stealth Falcon, хоча й цікаві, недостатні для того, щоб чітко приписати атаки конкретному урядовому клієнту.
Підрозділ 42 повідомив, що виявлені ними зразки шпигунського програмного забезпечення Landfall були завантажені до VirusTotal, служби сканування на наявність шкідливих програм, особами з Марокко, Ірану, Іраку та Туреччини протягом 2024 та на початку 2025 років.
Національна команда з кіберготовності Туреччини, відома як USOM , позначила одну з IP-адрес, до якої підключалося шпигунське програмне забезпечення Landfall, як шкідливу, що, за словами Unit 42, підтверджує теорію про те, що мішенню могли стати особи в Туреччині.
Як і інші урядові шпигунські програми, Landfall здатний здійснювати широке стеження за пристроями, наприклад, отримувати доступ до даних жертви, включаючи фотографії, повідомлення, контакти та журнали викликів, а також прослуховувати мікрофон пристрою та відстежувати її точне місцеперебування.
Підрозділ 42 виявив, що вихідний код шпигунського програмного забезпечення посилався на п'ять конкретних телефонів Galaxy, включаючи Galaxy S22, S23, S24 та деякі моделі Z, як на цілі. Коен сказав, що вразливість також могла бути присутня на інших пристроях Galaxy та вплинула на версії Android від 13 до 15.