Шпигунське ПЗ Landfall використовувало вразливість нульового дня для зламу смартфонів Samsung

Команда кібербезпеки Unit 42 з Palo Alto Networks виявила небезпечне шпигунське програмне забезпечення під назвою Landfall, яке використовувало вразливість нульового дня у смартфонах Samsung Galaxy. Хакерська кампанія тривала майже рік, починаючи з липня 2024 року, і залишалася непоміченою до квітня 2025-го.

Що відомо

Атака здійснювалася шляхом надсилання спеціально створеного зображення, найімовірніше, через додаток для обміну повідомленнями. Зараження пристрою відбулося без участі користувача – достатньо було лише отримати зображення. Вразливість отримала код CVE-2025-21042, і стосувалася версій Android 13–15.

За словами Ітая Коена з Unit 42, Landfall застосовувалося у "точкових атаках" проти окремих осіб, імовірно з метою політичного шпигунства. Найбільше випадків фіксували в Марокко, Ірані, Іраку та Туреччині. Турецька кіберкоманда USOM підтвердила наявність підозрілих IP-адрес, до яких підключалося Landfall.

Дослідники виявили, що інфраструктура Landfall має спільні риси з відомим постачальником шпигунського ПЗ Stealth Falcon, який раніше атакував журналістів та активістів на Близькому Сході. Проте чітких доказів причетності конкретної урядової структури наразі немає.

Landfall націлювалося на пристрої Galaxy S22, S23, S24, а також окремі моделі серії Fold і Flip. ПЗ мало повний доступ до пристрою: фото, контакти, дзвінки, повідомлення, мікрофон та геолокацію.

Джерело: Palo Alto Networks Unit 42