Aa Aa Aa

Хакери використовували підроблені зображення для шпигунства за смартфонами Samsung

Хакери використовували підроблені зображення для шпигунства за смартфонами Samsung

Операція Landfall стала яскравим прикладом того, наскільки швидко еволюціонують загрози для мобільних пристроїв. Те, що почалося як серія замаскованих зображень, перетворилося на складну кампанію кібершпигунства, яка протягом кількох місяців атакувала користувачів Samsung Galaxy без їхньої участі. Зловмисники змогли використати один дефект у бібліотеці обробки зображень, обходячи традиційні засоби безпеки, і заражали пристрої автоматично.

Фахівці Unit 42 компанії Palo Alto Networks детально розкрили роботу Landfall – шкідливого ПЗ комерційного класу, яке експлуатувало невиправлену вразливість (CVE-2025-21042) в Android-пристроях Samsung протягом 2024-2025 років. Хоча Samsung усунула дефект у квітневому оновленні безпеки 2025 року, до цього часу атака вже встигла завдати значної шкоди. Кампанія була локалізована переважно на Близькому Сході, а особи операторів залишилися невідомими.

Landfall використовував модифіковані DNG-файли з вбудованими ZIP-архівами зі шкідливими бібліотеками, які автоматично виконувалися на пристрої. Потрапивши всередину, шкідливість змінювала політики SELinux, отримуючи розширені привілеї, та надавала зловмисникам доступ до контактів, файлів, даних браузера, а також можливість віддалено активувати мікрофон і камеру.

Атака торкнулася моделей Galaxy S22, S23, S24, а також складних пристроїв Z Flip 4 і Z Fold 4, зосереджуючись на Іраку, Ірані, Туреччині та Марокко. Аналіз стилю коду та інфраструктури свідчить про використання комерційної платформи стеження, схожої на ті, що розробляють компанії на кшталт NSO Group та Variston, хоча конкретна атрибуція не проводилася.

Samsung підтвердила, що оновлення квітня 2025 року знижує ризики у версіях Android 13-15, проте повне видалення Landfall залишається складним через здатність шкідливості змінювати системні конфігурації. Користувачі без встановленого патча залишаються у зоні ризику, особливо якщо експлойт стане доступним для повторного використання зловмисниками.

Источник: itechua.com