Дослідники з Unit 42 — аналітичного підрозділу компанії Palo Alto Networks — виявили масштабну шпигунську кампанію, спрямовану на смартфони Samsung Galaxy. Зловмисники використовували складне програмне забезпечення під назвою Landfall, яке експлуатувало критичну уразливість у системі Android для Samsung, повідомляє ArsTechnica.
Атака тривала майже рік — із липня 2024-го до квітня 2025 року, коли Samsung випустила патч безпеки. Хоча кампанія була цілеспрямованою, експерти попереджають, що відкриття деталей може надихнути інших хакерів використати подібні методи.
Як діяв Landfall
Шкідливе ПЗ Landfall експлуатувало zero-day уразливість, зареєстровану як CVE-2025-21042, що дозволяла атакувати пристрій без жодних дій користувача — тобто у форматі zero-click.
Достатньо було, щоб на смартфон потрапило спеціально створене зображення: вірус маскувався під файл формату DNG, який є різновидом TIFF, а всередині містився вбудований ZIP-архів із шкідливим кодом. Під час обробки такого зображення система автоматично виконувала вбудований код, що відкривало шпигунський доступ до пристрою. Після зараження Landfall змінював SELinux-політики системи, отримуючи розширені дозволи й починаючи збір особистих даних користувача.
Можливості шпигунського ПЗ
За даними Unit 42, шпигунське ПЗ Landfall дозволяло зловмисникам зчитувати контакти, ідентифікатори пристрою, встановлені додатки та файли користувача, отримувати доступ до історії браузера й особистих документів, а також непомітно активувати камеру та мікрофон. Уся зібрана інформація передавалася на віддалений сервер управління. Програму виявили завдяки аналізу підозрілих файлів на платформі VirusTotal, і вона була орієнтована переважно на моделі Samsung Galaxy S22, S23, S24, Flip 4 та Fold 4.
