Шпионское ПО Landfall использовало уязвимость нулевого дня для взлома телефонов Samsung Galaxy

Исследователи безопасности обнаружили шпионское ПО для Android, нацеленное на телефоны Samsung Galaxy в ходе хакерской кампании, длившейся почти год.

Исследователи из подразделения 42 компании Palo Alto Networks заявили, что шпионское ПО, которое они называют «Landfall», было впервые обнаружено в июле 2024 года и использовало уязвимость безопасности в программном обеспечении телефонов Galaxy, о которой Samsung на тот момент не знала. Этот тип уязвимости известен как «угроза нулевого дня».

В подразделении 42 заявили, что уязвимость можно было использовать для отправки вредоносного изображения на телефон жертвы, вероятно, через приложение для обмена сообщениями, и что атаки могли не требовать какого-либо взаимодействия со стороны жертвы.

Samsung устранила уязвимость безопасности, обозначенную как CVE-2025-21042, в апреле 2025 года, но подробности о шпионской кампании, использующей эту уязвимость, ранее не публиковались.

Исследователи заявили, что неизвестно, какой поставщик систем видеонаблюдения разработал шпионское ПО Landfall, и неизвестно, сколько человек подверглось атаке в рамках этой кампании. Однако исследователи отметили, что атаки, вероятно, были направлены на жителей Ближнего Востока.

Итай Коэн, старший научный сотрудник Подразделения 42, рассказал TechCrunch, что хакерская кампания представляла собой «точечную атаку» на конкретных лиц, а не массовое распространение вредоносного ПО, что указывает на то, что атаки, вероятно, были совершены с целью шпионажа.

Подразделение 42 обнаружило, что шпионское ПО Landfall использует перекрывающуюся цифровую инфраструктуру известного поставщика средств наблюдения Stealth Falcon, который ранее был замечен в шпионских атаках против журналистов, активистов и диссидентов из Эмиратов еще в 2012 году. Однако исследователи заявили, что связи со Stealth Falcon, хотя и интригуют, недостаточны для того, чтобы однозначно приписать атаки конкретному государственному заказчику.

Подразделение 42 сообщило, что обнаруженные ими образцы шпионского ПО Landfall были загружены на VirusTotal, сервис сканирования вредоносных программ, лицами из Марокко, Ирана, Ирака и Турции в течение 2024 года и в начале 2025 года.

Национальная группа по кибербезопасности Турции (USOM) отметила один из IP-адресов, к которым подключалась шпионская программа Landfall, как вредоносный. По словам Подразделения 42, это подтверждает теорию о том, что целью могли стать отдельные лица в Турции.

Как и другие правительственные шпионские программы, Landfall способен осуществлять широкомасштабное наблюдение за устройством, например, получать доступ к данным жертвы, включая фотографии, сообщения, контакты и журналы вызовов, а также прослушивать микрофон устройства и отслеживать точное местоположение жертвы.

Подразделение 42 обнаружило, что исходный код шпионского ПО ссылался на пять конкретных телефонов Galaxy, включая Galaxy S22, S23, S24 и некоторые модели Z. Коэн заявил, что уязвимость могла присутствовать и на других устройствах Galaxy и затрагивала версии Android с 13 по 15.

Компания Samsung не отреагировала на просьбу прокомментировать ситуацию.

Источник: techcrunch.com